[yarcev20071]

попытка номер 100

[yarcev20071]

помимо "выдачи" скриптов, которые надеюсь будут, пожалуйста объясните за что этот файл и ветка реестра отвечают и как бороться с похожими проблемами?......(первый раз с таким гадким винлокером сталкиваюсь, обычно стандартные способы срабатывают)

[thyrex]

Цитата yarcev20071:

помимо "выдачи" скриптов, которые надеюсь будут, пожалуйста объясните за что этот файл и ветка реестра отвечают »

Файл, который Вы переименовали, есть один из компонентов вируса. Он прописывался в параметре, который отвечает за инициализацию динамических библиотек (dll-файлов), которые используют программы в своей работе.
ЕСли помните пред- и постновогоднюю эпидемию вымогателей, они действовали по тому же принципу.

Этот способ борьбы можно применять только к той разновидности блокировщика (на номер 3381), которая была у Вас.

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\czhfp.exe','');
 QuarantineFile('C:\WINDOWS\system32\gegkmzr.exe','');
 DeleteFile('C:\WINDOWS\system32\gegkmzr.exe');
 DeleteFile('C:\DOCUME~1\Admin\LOCALS~1\Temp\czhfp.exe');
DeleteFile('%windir%\Tasks\autochk.job');
DelBHO('{88888888-8888-8888-8888-888888888888}');
DelBHO('{D4B1E9C9-D5D0-4332-93DF-83762F07131D}');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:" напишите пароль на архив "virus" (без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Также этот архив отправьте на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Сделайте новые логи

Выполните дополнительно
Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

[yarcev20071]

спасибо... все это уже завтра... почти сегодня.

[thyrex]

Ок. Аналогично

[yarcev20071]

карантин отправил в лабораторию касперского и на thyrex2002<at>tut.by at=@
логи выкладываю.

[thyrex]

c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654

Пуск - Выполнить - regedit
В этом ключе

Код:

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

в правой части найдите параметр DcomLaunch и из его значений удалите Netprotocol


Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\mciwsryu.dll
c:\windows\system32\o.dll
c:\windows\system32\scfbjx.dll
c:\windows\system32\ffdkey.dll
:\windows\system32\vli.dll
c:\windows\system32\x.dll
c:\windows\system32\nkxyvi.dll
c:\windows\system32\sheqze.dll
c:\windows\system32\YPCsUyz.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[yarcev20071]

Цитата thyrex:

параметр DcomLaunch и из его значений удалите Netprotocol »

можно узнать...что это?

[thyrex]

Еще один файл пропустил - c:\windows\system32\vli.dll. Удалите его вручную.

Цитата yarcev20071:

можно узнать...что это? »

У Вас при первом запуске ComboFix была удалена служба, относящаяся к вирусу. А это запись от той службы

Запакуйте, пожалуйста, папку C:\Qoobox\Quarantine с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"


Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up

В остальном порядок

Установите Internet Explorer 8 (даже если им не пользуетесь)
Установите Adobe Acrobat 9.3 или удалите старый


P.S. Теперь Вам понятен принцип действия и во второй Вашей теме

[yarcev20071]

все выполнил. спасибо за помощь!
встретимся здесь - http://forum.oszone.net/thread-176346.html на выходных.