5 ответов в этой теме

[ChabbChabb]

Всем доброго времени суток!

Столкнулись с таким зверем - баннер поверх всех окон с требованием отправить СМС с текстом К704713300 на номер 4460 ввиду нарушения лицензионного договора программы Download Master. Соответственно, перехватывает Ctrl+Alt+Del, запуск антивирус и большинства программ (OpenOffice и блокнот открывает), в безопасном режиме при попытке запуска приложений разлогинивается система, однако нажав аккорд Ctrl+Alt+Del появляется приглашение залогиниться, после чего получилось запустить AVZ (под именем explorer).

До этого загружался с LiveCD DrWeb и Windows - Cureit что-то там нашел и удалил, однако ситуация не изменилась. 

Баннер пропадает при вызове свойств рабочего стола и изменения времени (двойной клик в трее).

Скорее всего зараза прописалась в эксплорере - просмотрел процессы утилитой AVZ, но ничего не понял - кто есть кто).

Прилогаю логи AVZ, HiJackThis и лог поиска по реестру "explorer.exe"

Прикрепленные файлы:

•  prt_explorer.txt   13,19К   195 Скачано раз
•  prt_avz.txt   4,18К   98 Скачано раз
•  hijackthis.log   5,46К   85 Скачано раз

[Driver]

пофиксить 

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

проверьте cpcspi.dll dirtpn.dll

O20 - Winlogon Notify: cpcsp - C:\Program Files\Crypto Pro\CSP\cpcspi.dll

O20 - AppInit_DLLs: C:\WINDOWS\system32\dirtpn.dll

[EugeneAO]

У Вас C:\WINDOWS\system32\dirtpn.dll похоже на вирус, попробуйте в обычном или безопасном режиме переименовать его в dirtpn.dl_

Затем перезагрузиться, если окно пропадет, выполнить в командной строке
reg add HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegedit /t REG_DWORD /d 0
reg add HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System /v DisableRegistryTools /t REG_DWORD /d 0

затем зайти в редактор реестра, найти ветку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs и убрать оотуда значение C:\WINDOWS\system32\dirtpn.dll

C:\Program Files\Crypto Pro\CSP\cpcspi.dll трогать не надо, это скорее всего модуль криптования от Интернетбанка

[userr]

ChabbChabb

в безопасном режиме при попытке запуска приложений разлогинивается система

как это понимать? выкидывает на экран приветствия?

Баннер пропадает при вызове свойств рабочего стола и изменения времени (двойной клик в трее).

но после этого программы всё равно не запускаются?

До этого загружался с LiveCD DrWeb и Windows - Cureit что-то там нашел и удалил, однако ситуация не изменилась.

я не понял - с какого-то Windows LiveCD грузились и Cureit запускали? что проверяли, какие папки?

Прилогаю логи AVZ, HiJackThis

а остальные проги по правилам http://forum.drweb.com/index.php?showtopic=277652 в безопасном режиме? а если переименовать, расширение сменить?

http://forum.drweb.com/index.php?showtopic...st&p=361446

[ChabbChabb]

userr
1) нет, просто остается пустое окно (черное) и курсор
2) да, не запускаются
3) запускал Cureit и AVZ - сканировал оба раздела
4) сорри, остальные проги не юзал. переименование не катит.

За остальные советы спасибо - в пн попробую.

Сообщение было изменено ChabbChabb: 26 Декабрь 2009 - 20:14

[Borka]

fly, тема выделена: http://forum.drweb.com/index.php?showtopic=286838