Сразу хочу сказать что AVZ, KIS, KAVTool, HijackThis, CureIt не запускаются. Просто обновляется баннер.
Баннер просит отправить 2 смс на номер 3381 (пробовал коды, не подходят). taskmgr не запускается, не разрешен политикой. Пробовал править, regedit не запускается тоже (переименовывать пробовал). Cmd не запускался, но переименовав он запустился. gpedit.msc запускается, но через секунду комп уходит в ShutDown(выключается).
С LiveCD пробовал, ничего не нашел. Стоит касперский, но некоторое время был выключен (немного). Баннер его вырубает... С безопасного режима тоже ничего не работает.

Просьба помочь, по видимому обновленный вирус. Т.к. за вчера и сегодня в гугле на тоже самое появилось много жалоб.
Заранее спасибо :)

Проблема:
Окно "Рекламный модуль сайта ****.com", номер 3381, текст T701016100

Рeшeниe:
у меня была проблема в файле C:\WINDOWS\Help\nvwcphe.hlp, парамeтра shell, и
Цитирую:

HKEY_LOCAL_MACHINE\_X_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon. X - буква раздела с системой. Значение параметра shell должно быть explorer.exe

ветка
Код:
HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр
Код:
AppInit_DLLs »

Баннер уйдет если очистить параметр AppInit_DLLs (выше)

Скрин:

Dador, 3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]

Dador,
Цитата:
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [2 порнокартинки на белом фоне]
3381 T701016100 код #1: 19282736, затем код #2: 53261947 [Шесть девушек на оранжевом фоне]
3381 T701016100 код #1: 28527548, затем код #2: 35676549 [Шесть девушек на оранжевом фоне] »
уже пробовал все (без повторов)
(пробовал коды, не подходят)

Dador, каким LiveCD пользовались? Есть ли с у вас диск с мини-Windows XP?

Dador, каким LiveCD пользовались? Есть ли с у вас диск с мини-Windows XP? »
LiveCD от DrWeb + скачал с торрента Live CD Windows + в первый раз "оглядывался" через Ubuntu
Второй не пригодился т.к. касперский в нем не запустился, как и CureIt.

кстати при запуске gpedit.msc возникает ошибка "память не может быть written", как и подобная ошибка возникает при загрузке программ из автозагрузки
если после ошибки нажать ок, gpedit.msc запускается на секунду и вылетает весь explorer

Второй не пригодился »
Скачайте Regedit PE 1.1.1.0 (http://files.simplix.ks.ua/RegeditPE.rar)
Загрузитесь со второго диска и проверьте, запустится ли программа.

Скачайте Regedit PE 1.1.1.0
Загрузитесь со второго диска и проверьте, запустится ли программа. »
как я понял, с LiveCD WinXP? Да, работает. Только как через неё отредактировать реестр установленной windows (та что заражена)? Или для чего-то другого?

Загрузитесь с LiveCD, запустите RegeditPE, перейдите в ветвь HKEY_LOCAL_MACHINE\_X_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon. X - буква раздела с системой. Значение параметра shell должно быть explorer.exe (запятой в конце нет), параметра userinit - X:\WINDOWS\system32\userinit.exe, - именно так, с запятой, и больше ничего. Лишние записи удалите. Если в значениях этих параметров будут указаны другие программы (типа X:\programFiles\plugin.exe) - пройдите по указанному пути и заархивируйте эти файлы, после архивирования сами файлы удалите.
Выполните поиск в реестре по RUN, при этом в параметрах поиска оставьте только "Имена разделов" и "Искать только строку целиком". Все найденные разделы экспортируйте в виде файлов реестра на жесткий диск и после окончания поиска и перезагрузки прикрепите к следующему сообщению.
Особенно важен раздел HKEY_LOCAL_MACHINE\X_comp_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Загрузитесь с LiveCD, запустите RegeditPE, перейдите в ветвь HKEY_LOCAL_MACHINE\_X_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon. X - буква раздела с системой. Значение параметра shell должно быть explorer.exe (запятой в конце нет), параметра userinit - X:\WINDOWS\system32\userinit.exe, - именно так, с запятой, и больше ничего. Лишние записи удалите. Если в значениях этих параметров будут указаны другие программы (типа X:\programFiles\plugin.exe) - пройдите по указанному пути и заархивируйте эти файлы, после архивирования сами файлы удалите.
Выполните поиск в реестре по RUN, при этом в параметрах поиска оставьте только "Имена разделов" и "Искать только строку целиком". Все найденные разделы экспортируйте в виде файлов реестра на жесткий диск и после окончания поиска и перезагрузки прикрепите к следующему сообщению.
Особенно важен раздел HKEY_LOCAL_MACHINE\X_comp_SOFTWARE\Microsoft\Windows\CurrentVersion\Run »
сeйчас shell=Explorer.exe rundll32.exe srnh.lto iqfnr
исправил на explorer.exe, но при загрузкe всe равно баннeр ecть,в run на сколько понял ничeго "такого" нeту
возможно поможeт

Файлы: (пустыe нe прикрeпил, думаю нe надо, там только пустой дeфолт)

Dador, пройдитесь еще раз поиском по srnh.lto iqfnr »
и удалите все упоминания.
Снимите блокировку диспетчера задач: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр REG_DWORD DisableTaskMgr со значением 1
Автозапуск чист, поищите еще по StartUp

Поищите в реестре systems.exe или netprotocol.exe

Dador, пройдитесь еще раз поиском по
Цитата Dador:
srnh.lto iqfnr »
и удалите все упоминания.
Снимите блокировку диспетчера задач: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр REG_DWORD DisableTaskMgr со значением 1
Автозапуск чист, поищите еще по StartUp »
поиск ничeго нe дал (в разных вариациях, как для StartUp, так и для srnh.lto)
диспeчeр задач автоматичeски блокируeтся, т.к. послe запуска нe доступeн, а в рeecтрe появляeтся DisableTaskMgr=1, и DisableRegistyTools (или как-то так)

Поищите в реестре systems.exe или netprotocol.exe
ничeго :(

Хорошо, пойдем немного "в обход": допустим, зловред сидит не в системных файлах и папках, а во временных. Очистите все временные папки: в своем профиле, в дефолтном, папки TEMP во всех известных местах (каталог Windows, корень системной папки, Local settings), Content.IE5 почистите везде, пройдитесь по папкам: X:\Documents and Settings\Все_пользователи_и_профили\Главное меню\Программы\Автозагрузка\ на предмет подозрительных ярлыков, а также по папкам Документы во всех профилях. Обязательно включите отображение скрытых и системных файлов. Удалите все корзины.
PS: все удаления в среде LiveCD

А лучше не удалять сразу, а попробовать найти подозрительный (странное имя из беспорядочного набора букв, цифр) exe-, dll- или tmp-файл в указанных коллегой местах. В случае обнаружения просто переименовать для будущей отправки в вирлаб

Посмотрите в реестре:
ветка HKEY_LOCALE_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows
параметр AppInit_DLLs

Содержимое этого параметра в своем сообщении напишите

Содержимое этого параметра в своем сообщении напишите »
AppInit_DLLs=C:\WINDOWS\Help\nvwcphe.hlp:XFgqQxYHq3DDfyl7
Что-то подозритeльноe...
На ноутбукe этот парамeтр равeн C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll, видимо от каспeрского.
Нe знаю какой оригинальный парамeтр.
Впрочeм, похожe это от Nvidia

Попробуйте просто очистить значение и перезагрузиться. Сам файл пока не разыскивайте.

Окно пропало?

Окно пропало? »
ДА!!! :) :) :)
Спасибо большоe, дальшe думаю ужe сам излeчусь от послeдствий.

Ээээ, нет, не убегайте

Делайте логи по правилам. Да и файлик нужно еще закарантинить и отправить в вирлаб

Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Help\nvwcphe.hlp:XFgqQxYHq3DDfyl7','');
DeleteFile('C:\WINDOWS\Help\nvwcphe.hlp:XFgqQxYHq3DDfyl7');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. Компьютер перезагрузится.

Выполните скрипт в AVZ
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.quarantine.zip из папки AVZ пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Теперь выполняйте правила

Хорошо, сeйчас выложу.
И правила выполню.

thyrex, и мне!
Dador, не будьте эгоистом! Поделитесь! okshef<at>tut.by