Junior Member
Вес репутации
59
Worm.Win32.NetBooster detected on your mashine
"Worm.Win32.NetBooster detected on your mashine...."
Выскакивает окно при логине, запускается программа типа Spyware, ищет зараженные файлы, как будто находит их и сообщает о том что нужно удалить, при попытке удалить переходит на страницу регистрации.
В процессе появляется еще несколько подобных программ... Еще не активен taskmanager, говорит что заблокиорван администратором, нету основных деталей в пуске: Пуск-выполнить, пуск-все программы.
Проверка AVZ выдает что файлы помещены в карантин, но после перезагрузки все сначала.
Последний раз редактировалось toK; 06.06.2008 в 16:43 .
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
пофиксите ...
Код:
O2 - BHO: QXK Olive - {E12D5137-3057-4974-A099-11A1189BA24F} - C:\WINDOWS\nogxfvbldot.dll
O3 - Toolbar: nmwegbsf - {0012AB5F-08E6-4105-BE04-300B740F6B0C} - C:\WINDOWS\nmwegbsf.dll
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA5E0DB2-74A5-4623-ACB7-653D1DF2DF60}: NameServer = 85.255.116.150,85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\..\{BA5E0DB2-74A5-4623-ACB7-653D1DF2DF60}: NameServer = 85.255.116.150,85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0B7436-78D2-439F-85A6-8B89657B41D0}: NameServer = 85.255.116.150,85.255.112.148
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.150 85.255.112.148
O21 - SSODL: UpdateCheck - {01FBB83C-EC99-4AAB-BA18-E1BD17F8EAC3} - C:\WINDOWS\system32\mstmdm.dll (file missing)
O21 - SSODL: adgpfoxs - {AE5E1E32-08A2-489A-A5F0-9FF006C1F7E4} - C:\WINDOWS\adgpfoxs.dll
O21 - SSODL: erpobmsw - {C622B7AF-33E0-4008-A62B-101F3F63A048} - C:\WINDOWS\erpobmsw.dll
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Steganos Security Suite 2006\SSS2006.exe','');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{0012AB5F-08E6-4105-BE04-300B740F6B0C}');
DelBHO('{E12D5137-3057-4974-A099-11A1189BA24F}');
QuarantineFile('C:\WINDOWS\adgpfoxs.dll','');
QuarantineFile('C:\WINDOWS\system32\mstmdm.dll','');
QuarantineFile('C:\Program Files\PCPrivacyCleaner\pcpc.exe','');
QuarantineFile('C:\Program Files\Microsoft Security Adviser\msscan.exe','');
QuarantineFile('C:\Program Files\Microsoft Security Adviser\mssadv.exe','');
QuarantineFile('C:\Program Files\Microsoft Security Adviser\msctrl.exe','');
QuarantineFile('C:\Program Files\Microsoft Security Adviser\msavsc.exe','');
QuarantineFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe','');
QuarantineFile('kdtvv.exe','');
QuarantineFile('C:\WINDOWS\nogxfvbldot.dll','');
QuarantineFile('C:\WINDOWS\nmwegbsf.dll','');
QuarantineFile('C:\WINDOWS\erpobmsw.dll','');
QuarantineFile('c:\windows\system32\satsrv.exe','');
DeleteFile('C:\WINDOWS\erpobmsw.dll');
DeleteFile('C:\WINDOWS\nmwegbsf.dll');
DeleteFile('C:\WINDOWS\nogxfvbldot.dll');
DeleteFile('kdtvv.exe');
DeleteFile('C:\Program Files\Antivirus 2008 PRO\antivirus-2008pro.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msctrl.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msiemon.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\mssadv.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msscan.exe');
DeleteFile('C:\Program Files\PCPrivacyCleaner\pcpc.exe');
DeleteFile('C:\WINDOWS\system32\mstmdm.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
авз -Мастер поиска и устранения проблем - выбрать все - устранить ...
повторите логи ...
Junior Member
Вес репутации
59
Выполнил скрипт
Система загрузилась без окна ввода логина.
Последний раз редактировалось toK; 06.06.2008 в 18:15 .
не вижу вашего карантина ....
логи вы старые прикрепили ?
Junior Member
Вес репутации
59
Да логи старые...
Карантин слишком большое не заливается
правила читаем ... карантин загружать по ссылке над темой ...
логи делаем заново ....
Junior Member
Вес репутации
59
Логи делаю!
Карантин грузится
Junior Member
Вес репутации
59
Новые логи...
Появился Таск манагер, в остальном все плохо...
Ребятки подсобите!
Вложения
Последний раз редактировалось toK; 06.06.2008 в 18:26 .
К сожалению, все будет также пока не отключите "Восст. системы"
После отключения можно заново повторить скрипт от V_Bond
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
59
в пуске нет ничего...
все программы, выполнить.. тю-тю
Добавлено через 5 минут
нашел!
ща скрипт запущу!
Последний раз редактировалось toK; 06.06.2008 в 18:38 .
Причина: Добавлено
Junior Member
Вес репутации
59
В решении проблемы появились просветы...
После запуска скрипта и перегрузки перестали вылетать Antispyware приложения, но в менею пуск нет необходимых колонок, все программы и выполнить, а так же не запускается таск менеджер и другие административные приложения, говорит что заблокированно администратором.
Логи прилагаю
Еще вместо часов отображается "Virus Alert"
Вложения
Последний раз редактировалось toK; 07.06.2008 в 08:41 .
Продолжаем:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys','');
DeleteService('Secdrv');
QuarantineFile('C:\WINDOWS\system32\drivers\SLEE13.sys','');
QuarantineFile('C:\WINDOWS\adgpfoxs.dll','');
DeleteFile('C:\WINDOWS\adgpfoxs.dll');
DeleteFile('C:\WINDOWS\system32\DRIVERS\secdrv.sys');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msfw.exe');
DeleteFile('C:\Program Files\Microsoft Security Adviser\msavsc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Затем после перезагрузки в AVZ: ФАйл Восст. системы п.11,16,17 отметить, Выполнить.
Новые логи после этого надо сделать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 25 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\antivirus 2008 pro\\antivirus-2008pro.exe - not-a-virus:FraudTool.Win32.VirusIsolator.l (DrWEB: Trojan.Fakealert.771) c:\\program files\\pcprivacycleaner\\pcpc.exe - not-a-virus:FraudTool.Win32.AntiSpywareExpert.n c:\\windows\\adgpfoxs.dll - Trojan.Win32.Vapsup.gey (DrWEB: Trojan.Popuper.7996) c:\\windows\\erpobmsw.dll - Trojan.Win32.Vapsup.gey (DrWEB: Trojan.Popuper.7901) c:\\windows\\nmwegbsf.dll - Trojan.Win32.Vapsup.gey (DrWEB: Trojan.Popuper.613 c:\\windows\\nogxfvbldot.dll - Trojan.Win32.Vapsup.gey (DrWEB: Trojan.Popuper.7903) c:\\windows\\system32\\kdtvv.exe - Trojan.Win32.DNSChanger.apn (DrWEB: BackDoor.Mbot)