Баннер на номер 3381

[Ftpmail]

На рабочем столе появился порно-баннер, предлагает отправить смс на номер 3381 с кодом N110081774833. Восстановление системы, диспетчер задач, браузеры, антивирусы не работают. Запустить AVZ могу только под LiveCD. Проблема еще и в том, что встроенный в LiveCD ERD Commander не открывает точки восстановления. Очень надеюсь на вашу помощь.

Добавлено через 2 минуты

Проверял AVZ, д-р Вебом - сам вирус не находит.

[polword]

с помощью ERD Commander посмотрите в реестре:
ветка
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

параметр
AppInit_DLLs

Содержимое этого параметра в своем сообщении напишите

[Ftpmail]

Посмотрел даже просто regedit (под Лайвом так и работаю) - там пустое значение.

[thyrex]

При запуске с ERD Commander нужно делать так Пуск - Выполнить - erdregedit

[Ftpmail]

thyrex, как ни странно, он мне ничего не показывает.

Добавлено через 1 час 5 минут

Есть предположение,что непосредственно сам баннер появляется при запуске браузера - при этом он виснет (ФФ) и отключить что-то в его настройках не удается. При заходев папку с AVZ тут же следует перезагрузка. Проверил несколькими антивирусами - ничего не видят.

[thyrex]

Похоже новая модификация блокера. Попробуйте поискать из-под LiveCD файл systems.exe, проверить ключи автозапуска в реестре

[Ftpmail]

thyrex, какие именно ключи/как проверять?

[thyrex]

какие именно ключи/как проверять?

Run

Искать поиском в реестре

[Ftpmail]

thyrex, нашел systems.exe только как параметр в реестре для ИЕ, значение удалил. Самого такого файла нет. Искал по Run, честно говоря, не зная что, сложно найти.

[thyrex]

Поищите этот же файл в Documents and Settings\All Users и переименуйте. Попробуйте загрузиться нормальным образом и выполнить правила

[Ftpmail]

thyrex, в Documents and Settings\All Users нет ничего. Есть лог от HijackThis, но не могу гарантировать его полноту: система вылетает, показывая обоину рабочего стола и все (непосредственно перезагрузка не происходит). Что касается содержимого hosts, то перенаправления на рутрекер писал я, тут порядок.

AVZ из-под LiveCD не нужен, правильно? Никак иначе он у меня не запускается.

Надеюсь, что хотя бы один этот лог поможет.

[polword]

- найдите файл- C:\WINDOWS.0\system32\mz.dll - переименуйте его, пришлите его запакованным в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы
- профиксите в HJ

F2 - REG:system.ini: UserInit=C:\WINDOWS.0\system32\userinit.exe,C:\WIN DOWS.0\system32\8a0b455c.exe,\\?\globalroot\system root\system32\0BjV92i.exe,
O20 - AppInit_DLLs: C:\WINDOWS.0\system32\mz.dll

Добавлено через 55 секунд

после попробуйте сделать логи AVZ

[thyrex]

найдите файл- C:\WINDOWS.0\system32\mz.dll

Искать и переименовывать нужно с LiveCD

AppInit_DLLs: C:\WINDOWS.0\system32\mz.dll

Значит плохого искали в реестре. Или искали не в реестре системы на компьютере

[Ftpmail]

polword, thyrex, файл переименовал и выслал (пока его не удалял, нужно ведь удалить?). Нормально заработал ФФ (собственно, это сообщение уже пишу с зараженного компьютера). С помощью gmer посмотрел в реестре (обычная загрузка, не LiveCD) ключ - пустой. Может, неправильно что-то делаю? Диспетчер задач, восстановление системы, regedit по-прежнему не работают. Правда, теперь стало появляться сообщение "... отключено администратором системы". Раньше просто никакой реакции не было. Высылаю все логи, жду дальнейших инструкций.

[Ftpmail]

Да, еще восстановилась нормальная работа мультимедиа файлов.

Еще такой вопрос: у меня в системе был ехе-шник coqgor - в автозапуске, в скрытых (как только делаешь отображение скрытых файлов, появлялся баннер). Я его сразу удалил, но он до сих пор есть в msconfig в списке автозагрузки (в "Расположении" SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows - но там ничего нет).

Добавлено через 31 минуту

Заработал gpedit, я разблокировал диспетчер задач, вероятно, будет доступно восстановление системы (нужно его делать теперь?). Жду советов, как восстановить окончательно функционирование (например, не работает установленный антивирус), возможно, в AVZ выполнить какие-то пункты из "Восстановления"?

[polword]

- virusinfo_cure.zip - удалите из темы

- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('C:\autorun.inf');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(11);
 ExecuteRepair(17);
 ExecuteWizard('TSW', 2, 2, true);
 ExecuteWizard('SCU', 2, 2, true);
 ExecuteRepair(6);
 ExecuteRepair(8);
 RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

[thyrex]

Дополнительно к совету polword

Сделайте лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[Ftpmail]

polword, все сделал, единственное, в памяти есть системные процессы антивируса (надеюсь, это не проблема?). Переименованный mz.dll я удаляю?

По рекомендации thyrex добавляю еще и лог ComboFix.

[polword]

Пришлите Ту dll запакованной в архив ZIP с паролем: virus по ссылке Прислать запрошенный карантин вверху темы

Добавлено через 53 секунды

По рекомендации thyrex добавляю еще и лог ComboFix.

не вижу его что-то....

[Ftpmail]

polword, поправил предыдущее сообщение. А dll я уже высылал:

Ошибка загрузки. Данный файл уже был загружен

Называется "quarantine_mz"