Появился рекламный модуль
 

Сразу хочу сказать что AVZ, KIS, KAVTool, HijackThis, CureIt не запускаются. Просто обновляется баннер.
Баннер просит отправить 2 смс на номер 3381 (пробовал коды, не подходят). taskmgr не запускается, не разрешен политикой. Пробовал править, regedit не запускается тоже (переименовывать пробовал). Cmd не запускался, но переименовав он запустился. gpedit.msc запускается, но через секунду комп уходит в ShutDown(выключается).
С LiveCD пробовал, ничего не нашел. Стоит касперский, но некоторое время был выключен (немного). Баннер его вырубает... С безопасного режима тоже ничего не работает.

Просьба помочь, по видимому обновленный вирус. Т.к. за вчера и сегодня в гугле на тоже самое появилось много жалоб.
Заранее спасибо :)

Проблема:
Окно "Рекламный модуль сайта ****.com", номер 3381, текст T701016100

Рeшeниe:
у меня была проблема в файле C:\WINDOWS\Help\nvwcphe.hlp, парамeтра shell, и
Цитирую:

Баннер уйдет если очистить параметр AppInit_DLLs (выше)

Скрин:

Dador,

уже пробовал все (без повторов)

Dador, каким LiveCD пользовались? Есть ли с у вас диск с мини-Windows XP?

LiveCD от DrWeb + скачал с торрента Live CD Windows + в первый раз "оглядывался" через Ubuntu
Второй не пригодился т.к. касперский в нем не запустился, как и CureIt.

кстати при запуске gpedit.msc возникает ошибка "память не может быть written", как и подобная ошибка возникает при загрузке программ из автозагрузки
если после ошибки нажать ок, gpedit.msc запускается на секунду и вылетает весь explorer

Скачайте Regedit PE 1.1.1.0
Загрузитесь со второго диска и проверьте, запустится ли программа.

как я понял, с LiveCD WinXP? Да, работает. Только как через неё отредактировать реестр установленной windows (та что заражена)? Или для чего-то другого?

Загрузитесь с LiveCD, запустите RegeditPE, перейдите в ветвь HKEY_LOCAL_MACHINE\_X_comp_software\Microsoft\Windows NT\CurrentVersion\Winlogon. X - буква раздела с системой. Значение параметра shell должно быть explorer.exe (запятой в конце нет), параметра userinit - X:\WINDOWS\system32\userinit.exe, - именно так, с запятой, и больше ничего. Лишние записи удалите. Если в значениях этих параметров будут указаны другие программы (типа X:\programFiles\plugin.exe) - пройдите по указанному пути и заархивируйте эти файлы, после архивирования сами файлы удалите.
Выполните поиск в реестре по RUN, при этом в параметрах поиска оставьте только "Имена разделов" и "Искать только строку целиком". Все найденные разделы экспортируйте в виде файлов реестра на жесткий диск и после окончания поиска и перезагрузки прикрепите к следующему сообщению.
Особенно важен раздел HKEY_LOCAL_MACHINE\X_comp_SOFTWARE\Microsoft\Windows\CurrentVersion\Run

сeйчас shell=Explorer.exe rundll32.exe srnh.lto iqfnr
исправил на explorer.exe, но при загрузкe всe равно баннeр ecть,в run на сколько понял ничeго "такого" нeту
возможно поможeт

Файлы: (пустыe нe прикрeпил, думаю нe надо, там только пустой дeфолт)

Dador, пройдитесь еще раз поиском по и удалите все упоминания.
Снимите блокировку диспетчера задач: [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System] удалите параметр REG_DWORD DisableTaskMgr со значением 1
Автозапуск чист, поищите еще по StartUp

Поищите в реестре systems.exe или netprotocol.exe

поиск ничeго нe дал (в разных вариациях, как для StartUp, так и для srnh.lto)
диспeчeр задач автоматичeски блокируeтся, т.к. послe запуска нe доступeн, а в рeecтрe появляeтся DisableTaskMgr=1, и DisableRegistyTools (или как-то так)

ничeго :(

Хорошо, пойдем немного "в обход": допустим, зловред сидит не в системных файлах и папках, а во временных. Очистите все временные папки: в своем профиле, в дефолтном, папки TEMP во всех известных местах (каталог Windows, корень системной папки, Local settings), Content.IE5 почистите везде, пройдитесь по папкам: X:\Documents and Settings\Все_пользователи_и_профили\Главное меню\Программы\Автозагрузка\ на предмет подозрительных ярлыков, а также по папкам Документы во всех профилях. Обязательно включите отображение скрытых и системных файлов. Удалите все корзины.
PS: все удаления в среде LiveCD

А лучше не удалять сразу, а попробовать найти подозрительный (странное имя из беспорядочного набора букв, цифр) exe-, dll- или tmp-файл в указанных коллегой местах. В случае обнаружения просто переименовать для будущей отправки в вирлаб

Посмотрите в реестре:
ветка параметр Содержимое этого параметра в своем сообщении напишите

AppInit_DLLs=C:\WINDOWS\Help\nvwcphe.hlp:XFgqQxYHq3DDfyl7
Что-то подозритeльноe...
На ноутбукe этот парамeтр равeн C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll, видимо от каспeрского.
Нe знаю какой оригинальный парамeтр.
Впрочeм, похожe это от Nvidia

Попробуйте просто очистить значение и перезагрузиться. Сам файл пока не разыскивайте.

Окно пропало?

ДА!!! :) :) :)
Спасибо большоe, дальшe думаю ужe сам излeчусь от послeдствий.

Ээээ, нет, не убегайте

Делайте логи по правилам. Да и файлик нужно еще закарантинить и отправить в вирлаб

Выполните скрипт в AVZ
Компьютер перезагрузится.

Выполните скрипт в AVZ
quarantine.zip из папки AVZ пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Теперь выполняйте правила

Хорошо, сeйчас выложу.
И правила выполню.

thyrex, и мне!
Dador, не будьте эгоистом! Поделитесь! okshef<at>tut.by

не совсем понял, если нужны логи, то вот:

Исправьте через AVZ - Файл - Мастер поиска и устранения проблем - Все проблемы - отметить указанное - Исправить

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

после использования программы сбросилась кодировка в cmd, и теперь там карябезы, как исправить?
Вот лог:

Попробуйте это



После применения СomboFix возникают проблемы в отображении кириллических шрифтов в DOS-приложениях, и, в частности, при запуске командной строки. Стандартные, т.е. более-менее известные, методы исправления ситуации не всегда помогают.

В реестре нужно найти раздел [HKEY_CURRENT_USER\Console\%systemroot%_system32_cmd.exe] и изменить параметр "CodePage"=dword:00000362

Или твиком реестра:
(сохранить текст "блокнотом" с расширением *.reg, запустить и согласиться на внесение данных в реестр)

В дополнение к совету iskander-k

Это важно

1. Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

2. Файлы
запакуйте с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

3. Эти файлы
нужно восстановить с дистрибутива http://virusinfo.info/showthread.php?t=51654

4. Файл C:\2946yuv5.exe Вам известен? Если нет, проверьте его на virustotal
Ссылку на результат проверки сообщите

спасибо, работает
Только сразу не заметил, ешё одно появилось. Если вставить в USB что угодно (флешку, фотик, принтер, хард) - компьютер напрочь зависает (как будто статическое изображение)

Да, это CureIt

с остальным ближе к вечеру