Junior Member
Вес репутации
59
Worm. Win32.NetBooster
Привет всем.
Столкнулся тут с такой проблемой, как написал в заголовке.
Смотрю я уже не один, кто сталкивался с такой проблемой.
Собственно после приобретения этого червя появился ряд проблемм, таких как, например, блокирование редактора реестра и диспетчера задач + как писали все - на раб. столе появились 3 ярлыка, которые после рибута компа всё равно появляются.. Компутер стал очень сильно зависать.
Вся эта проблема происходит на ноутбуке, с ОС XP sp-2 HE
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\WINDOWS\xmpstean.exe','');
QuarantineFile('C:\WINDOWS\ekel.exe','');
QuarantineFile('c:\windows\system32\818646\818646.dll','');
DelBHO('{109C6D5D-2E6B-48CA-9584-4691AEEA8FBF}');
DelBHO('{698930F0-B033-46DC-82F8-8B6DD6BF84C3}');
DelBHO('{54192079-8E8A-43D8-BCBC-3874916159AF}');
DelBHO('{40588F11-9023-412B-B222-7A36EA6C9040}');
DelBHO('{009F3465-432F-4713-89F6-AD632A437214}');
QuarantineFile('C:\WINDOWS\atfxqogp.dll','');
QuarantineFile('C:\WINDOWS\boqnrwdmtpe.dll','');
QuarantineFile('C:\WINDOWS\system32\818646\818646.dll','');
QuarantineFile('C:\WINDOWS\vregfwlx.dll','');
QuarantineFile('C:\WINDOWS\vltdfabw.dll','');
QuarantineFile('C:\WINDOWS\system32\vtUmLdDu.dll','');
QuarantineFile('C:\WINDOWS\system32\quksgidb.dll','');
QuarantineFile('C:\WINDOWS\Resources\UnknownRunOnce.dll','');
QuarantineFile('C:\WINDOWS\system32\awttusRI.dll','');
QuarantineFile('tmp2.exe','');
QuarantineFile('c:\program files\antiviirus.exe','');
DeleteFile('c:\program files\antiviirus.exe');
DeleteFile('tmp2.exe');
DeleteFile('C:\WINDOWS\system32\awttusRI.dll');
DeleteFile('C:\WINDOWS\system32\quksgidb.dll');
DeleteFile('C:\WINDOWS\system32\vtUmLdDu.dll');
DeleteFile('C:\WINDOWS\vltdfabw.dll');
DeleteFile('C:\WINDOWS\vregfwlx.dll');
DeleteFile('awttusRI.dll');
DeleteFile('C:\WINDOWS\system32\818646\818646.dll');
DeleteFile('C:\WINDOWS\boqnrwdmtpe.dll');
DeleteFile('C:\WINDOWS\atfxqogp.dll');
DeleteFile('c:\windows\system32\818646\818646.dll');
DeleteFile('C:\WINDOWS\ekel.exe');
DeleteFile('C:\WINDOWS\xmpstean.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
авз- Мастер поиска и устранения проблем - выбрать все - устранить ...
повторите логи ....
Junior Member
Вес репутации
59
Добрый день.
Всё сделал как вы и просили. Наконец перестали выпадать окна, типа Alert, но вот рядом с часами, в трее, так и осталась надпись "VIRUS ALERT". Диспетчер вызываться стал, но в пуске так же всё чисто - "Все программы" отсутствуют. Другие иконки восстановить можно, а вот "программы" ...
Присылаю логи, как и просили.
Вложения
Пофиксить
Код:
O2 - BHO: (no name) - {009F3465-432F-4713-89F6-AD632A437214} - C:\WINDOWS\system32\awttusRI.dll (file missing)
O2 - BHO: (no name) - {B11EDCFE-E415-461B-BA48-3AE89530A54E} - C:\WINDOWS\system32\vtUmLdDu.dll (file missing)
O20 - Winlogon Notify: awttusRI - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Resources\UnknownRunOnce.dll','');
QuarantineFile('E:\autorun.inf','');
DelBHO('{B11EDCFE-E415-461B-BA48-3AE89530A54E}');
DelBHO('{009F3465-432F-4713-89F6-AD632A437214}');
DeleteFile('C:\WINDOWS\system32\awttusRI.dll');
DeleteFile('C:\WINDOWS\system32\vtUmLdDu.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин,повторите логи начиная с п.10 правил.
Junior Member
Вес репутации
59
Всё выполнил. После ввода скрипта рибутнулся комп, но в трее всё та же фигня + нет "Все программы".
Логи высылаю.
Вложения
C:\WINDOWS\Resources\UnknownRunOnce.dll -Trojan.Win32.Agent.gpf
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\Resources\UnknownRunOnce.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
повторите логи ....
Junior Member
Вес репутации
59
Отлично, "Все программы" появились.. вроде поправилось всё, кроме одного - скрин прилепил - всё та же надпись в трее, рядом с часами.
Вот логи:
Изображения
Вложения
импортируйте ключ HKEY_CURRENT_USER\Control panel\International\
Junior Member
Вес репутации
59
Если я правильно понял, то в приведённой вами ветке я отредактировал ключ sTimeFormat на значение HH:mm:ss До этого оно было HH:mm:VIRUS ALERT
Ну похоже всё... избавились от этой пакости! Видать эта дрянь совсем недавно появилась - все похожие темы были созданы практически в одно и тоже время - в апреле и по сей день. Не удивляюсь, что антивирусы не видят этот фейк.
Спасибо вам товарищи!
Сообщение от
Razah
Если я правильно понял, то в приведённой вами ветке я отредактировал ключ sTimeFormat на значение HH:mm:ss До этого оно было HH:mm:VIRUS ALERT
вы все правильно поняли
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 18 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\atfxqogp.dll - Trojan.Win32.Vapsup.ftv (DrWEB: Adware.Supa.72) c:\\windows\\boqnrwdmtpe.dll - Trojan.Win32.Vapsup.jqw (DrWEB: Adware.Supa.73) c:\\windows\\ekel.exe - Trojan.Win32.Vapsup.ftw (DrWEB: Trojan.Popuper.6134) c:\\windows\\resources\\unknownrunonce.dll - Trojan.Win32.Agent.qpf (DrWEB: Trojan.Click.19004) c:\\windows\\system32\\awttusri.dll - Trojan-Downloader.Win32.ConHook.ade (DrWEB: Trojan.DownLoader.62655) c:\\windows\\system32\\quksgidb.dll - not-a-virus:AdWare.Win32.Virtumonde.vlu (DrWEB: Trojan.DownLoader.62656) c:\\windows\\system32\\vtumlddu.dll - not-a-virus:AdWare.Win32.Virtumonde.vld (DrWEB: Trojan.Virtumod.414) c:\\windows\\system32\\818646\\818646.dll - not-a-virus:AdWare.Win32.E404.bj (DrWEB: Trojan.Click.19001) c:\\windows\\vltdfabw.dll - Trojan.Win32.Vapsup.ftx (DrWEB: Adware.Supa.74) c:\\windows\\vregfwlx.dll - Trojan.Win32.Vapsup.fty (DrWEB: Adware.Supa.75) c:\\windows\\xmpstean.exe - Trojan.Win32.Vapsup.ftz (DrWEB: Adware.Supa.76)