Доброго времени.
Информер на рабочем столе просит отправить смс 7520122 на номер 8353. В разблокираторах код подобрать не получилось. Dr.Web LiveCD ничего не нашел. Не уверен, что рекомендации получилось выполнить полностью. Логи выкладываю.

Здравствуйте.
Выполните скрипт:

begin
ExecuteRepair(16);
RebootWindows(true);
end.

Профиксьте в HJT (http://virusnet.info/forum/showthread.php?t=9)


F2 - REG:system.ini: Shell=Explorer.exe, C:\Program Files\Common Files\ICQ\icq.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)


IP- фдреса ваши?
77.40.0.2,77.40.0.3?

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению." (http://virusnet.info/forum/showthread.php?t=2773)

сделайте логи RSIT (http://images.malwareremoval.com/random/RSIT.exe)

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

begin
SetAVZGuardStatus(True);
DeleteFile(GetAVZDirectory+'log\virusinfo_cure.zip');
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
QuarantineFile('c:\program files\common files\icq\icq.exe','');
TerminateProcessByName('c:\program files\common files\icq\icq.exe');
DeleteFile('c:\program files\common files\icq\icq.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!

3. Выполните скрипт в AVZ:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip отправьте мне на aleksandra.sedakova[antispam]gmail.com

4. Повторите лог virusinfo_syscheck.

Motherboard: Скрипт выполнил, информер пропал, F3 не нашел, 03 пофиксил. 77.40.0.2,77.40.0.3 адреса мои в настройках ADSL. Логи выкладываю. Выполнять рекомендации Александры или уже поздно?

Выполнять рекомендации Александры или уже поздно? »Выполняйте.

Обновил KIS, запустил полную проверку, Каспер нашел
Trojan.Win32.Qhost.nji по адресу C:\WIN\SYS32\dr\etc\hosts - удалил,
Trojan.Win32.FraudPack.aybg - C:\PF\CF\ICQ\icq.exe - начал лечение потом пезагрузился.
После перезагрузки снова появился иэтотже информер.
Выполнил скрипты 1 Александры. Информер пропал, но avz больше не запускается, выдает ошибку "Access violation at address 00497D2C(00497E41, 0048FCB0) in module 'avz.exe'. Read of address 000000030." Никакие переименования не помогают.

Выполнил скрипт 2 Александры после перезагрузки в безопасном режиме. Потом сделал лог virusinfo_syscheck - выкладываю, карантин по почте.

сделайте логи этой AVZ (http://gjf.hotbox.ru/mink.pif).

По рекомендации Analyzer cделал логи "его" avz. Внешних признаков заражения не наблюдается.

Выполните скрипт в AVZ:

begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
end.

Ничего плохого в логах не увидела. Что с проблемами?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

KillAll::

File::

Driver::

Folder::

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2]
FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
http://virusnet.info/images/cfscript.gif
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Aleksandra: Лог выкладываю, внешне все нормально.
Motherbfrd: Отчет cf.
Спасибо всем тему можно закрывать.

levantin, Если проблем нет, отмечайте решённой.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"
http://virusnet.info/images/combofix-uninstall.jpg

Скачайте OTCleanIt (http://oldtimer.geekstogo.com/OTC.exe) или с зеркала (http://virusnet.info/forum/downloads.php?do=file&id=19&act=down), запустите, нажмите Clean up

Выполните скрипт в AVZ
begin
ExecuteRepair(19);
RebootWindows(true);
end.

Что с проблемами?

СF удалил, скрипт выполнил, при удалении консоли файл сmldr.* удалился, папка Cmdcons нет. Вылетает ошибка, скрин во вложении. При выборе загрузки системы строки консоли нет, может так оставить. больше проблем нет.