-
Junior Member
- Вес репутации
- 58
Worm.Win32.NetBooster
Постоянно появляется окно - Spyware Alert - с сообщением Worm.Win32.NetBooster...
Сам по себе открывается браузер и загружаются разные адреса – в основном ссылки на антивирусные программы.
В процессе работы в любом активном окне – окно становится не активным.
Работая в интернете – трудно удержать связь с нужным адресом – постоянно загружается какой-то новый (в основном ссылки на антивирусные программы)
Последний раз редактировалось max; 10.08.2008 в 22:54.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки
Код:
O4 - HKLM\..\Run: [744b2696] rundll32.exe "C:\WINDOWS\system32\jyivncjk.dll",b
O21 - SSODL: vltdfabw - {FE6AB4D0-6710-4D1E-B1AE-2635C7D66F65} - C:\WINDOWS\vltdfabw.dll
O21 - SSODL: vregfwlx - {5F41FC98-D60B-479A-A379-2E975FEA743C} - C:\WINDOWS\vregfwlx.dll
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
Программма AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\vcdplayx.exe','');
QuarantineFile('C:\WINDOWS\xmpstean.exe','');
QuarantineFile('C:\WINDOWS\system32\jyivncjk.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ekN06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\au0xi0k2.SYS','');
QuarantineFile('C:\WINDOWS\vregfwlx.dll','');
QuarantineFile('C:\WINDOWS\vltdfabw.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJYOedE.dll','');
QuarantineFile('C:\WINDOWS\system32\efcCVOET.dll','');
QuarantineFile('C:\WINDOWS\boqnrwdmwlf.dll','');
DeleteFile('C:\WINDOWS\boqnrwdmwlf.dll');
BC_DeleteFile('C:\WINDOWS\boqnrwdmwlf.dll');
DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
BC_DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
BC_DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
DeleteFile('C:\WINDOWS\vltdfabw.dll');
BC_DeleteFile('C:\WINDOWS\vltdfabw.dll');
DeleteFile('C:\WINDOWS\vregfwlx.dll');
BC_DeleteFile('C:\WINDOWS\vregfwlx.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\ekN06.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\ekN06.sys');
DeleteFile('C:\WINDOWS\system32\jyivncjk.dll');
BC_DeleteFile('C:\WINDOWS\system32\jyivncjk.dll');
DeleteFile('C:\WINDOWS\xmpstean.exe');
BC_DeleteFile('C:\WINDOWS\xmpstean.exe');
BC_DeleteSvc('ekN06');
DelBHO('{DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7}');
DelBHO('{4F26BEDB-D89B-44A1-948B-5D523292DADF}');
DelBHO('{4998BA3C-EB49-4C16-B583-1288569F7AF0}');
DelBHO('{47815018-7ECF-452C-9FAF-4315F8211254}');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
Executerepair(1);
executerepair(6);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24416 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
-
-
Junior Member
- Вес репутации
- 58
Спасибо, готово! система работает стабильно, сообщения о вирусах не появляются. В трее при перезагрузке компа появились многие программы, автозапуск которых я давно отменил (ну это - мелочь по сравнению с тем, что было). Инструкции ещё будут?
При входе в Windows появляется окно – 16-разрядная подсистема MS-DOS – в котором написано:
C:\PROGRA~1\VDOTool\UI\BIOSCTL.EXE
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT Системный файл не предназначен для выполнения приложений MS-DOS и Microsoft Windows. Для завершения работы приложения нажмите кнопку «Закрыть».
Последний раз редактировалось max; 10.08.2008 в 03:26.
-
Много всего еще
Пофиксите с помощью Hijackthis строки:
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: (no name) - {4F26BEDB-D89B-44A1-948B-5D523292DADF} - C:\WINDOWS\system32\efcCVOET.dll (file missing)
O2 - BHO: (no name) - {C2648111-28C7-404C-9965-E39374BD17A7} - C:\WINDOWS\system32\ljJYOedE.dll (file missing)
O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"
O20 - Winlogon Notify: efcCVOET - efcCVOET.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Common Files\VideoMate\ComproScheduler.exe','');
QuarantineFile('C:\Program Files\Common Files\VideoMate\ComproRemote.exe','');
QuarantineFile('c:\program files\multikeyboard driver\kbddrv.exe','');
QuarantineFile('c:\program files\enhancekeyboard\kb_2k.exe','');
QuarantineFile('C:\WINDOWS\vcdplayx.exe','');
DeleteFile('C:\WINDOWS\vcdplayx.exe');
BC_DeleteFile('C:\WINDOWS\vcdplayx.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('efcCVOET.dll');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
BC_DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
BC_DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
DelBHO('{C2648111-28C7-404C-9965-E39374BD17A7}');
DelBHO('{4F26BEDB-D89B-44A1-948B-5D523292DADF}');
DelWinlogonNotifyByFileName('WinCtrl32.dll');
DelWinlogonNotifyByFileName('efcCVOET.dll');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24416 , как написано в прил. 3 правил, запустите программу AVZ - верхнее меню - AVZPM - выберите "Установить драйвер расширенного мониторинга процессов" - перезагрузите машину. После перезагрузки, повторите логи.
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось max; 10.08.2008 в 03:26.
-
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('UleadBurningHelper');
QuarantineFile('UleadBurningHelper.sys','');
BC_DeleteSvc('Prime95 Service');
QuarantineFile('Prime95 Service.sys','');
QuarantineFile('C:\WINDOWS\system32\34com.dll','');
DeleteFile('Prime95 Service.sys');
DeleteFile('UleadBurningHelper.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Последний раз редактировалось max; 10.08.2008 в 03:26.
-
ничего плохого не видно ...
что с вашими проблемами ?
-
-
Junior Member
- Вес репутации
- 58
Осталось 2 вопросса:
1. При входе в Windows появляется окно – 16-разрядная подсистема MS-DOS – в котором написано:
C:\PROGRA~1\VDOTool\UI\BIOSCTL.EXE
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT Системный файл не предназначен для выполнения приложений MS-DOS и Microsoft Windows. Для завершения работы приложения нажмите кнопку «Закрыть».
2. Надпись "VIRUS ALERT!" - возле системных часов.
В остальном все в порядке!
-
1 .
пофиксите ...
Код:
O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A
2 пуск - выполнить - regedit
HKEY_CURRENT_USER\Control panel\International\
sTimeFormat исправте на значение HH:mm:ss
-
-
Junior Member
- Вес репутации
- 58