Win32.NetBooster

[n1l]

Присутствовало сообщение на рабочем столе "Warning! Spyware detected on your computer"(после нода убралось, теперь синий экран), возле часов надпись VIRUS ALERT!, в пуске подменю Настройки все вложенные подменю отсутсвуют, постоянно выскакивают месагбоксы с заголовком Ошибка и полным путем выполняемого файла с параметрами, также 3 ярлыка на рабочем столе с URL, сообщение обнаружена Spyware, после ответа ОК или Отмена вызывается окно браузера. Вроде все написал. Да и еще при выполнении скрипта на проверку/исправление комп ребутится.

[AndreyKa]

Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
 DelBHO('{E067413D-BC5E-4D4D-864D-A8932A9AC761}');
 QuarantineFile('C:\WINDOWS\rtsplgob.dll','');
 DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv73.sys','');
 SetServiceStart('Hns41', 4);
 DeleteService('Hns41');
 SetServiceStart('Hppy79', 4);
 DeleteService('Hppy79');
 SetServiceStart('SamSsSwPrv', 4);
 QuarantineFile('C:\WINDOWS\TEMP\47c1e586.tmp srv','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Hns41.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Hppy79.sys','');
 QuarantineFile('C:\WINDOWS\xkefqtgs.dll','');
 QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
 QuarantineFile('C:\WINDOWS\system32\basemufhk32.dll','');
 QuarantineFile('C:\WINDOWS\rnopbfgt.dll','');
SysCleanAddFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\rnopbfgt.dll');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\xkefqtgs.dll');
 DeleteFile('C:\WINDOWS\rtsplgob.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
http://virusinfo.info/upload_virus.php?tid=24754
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.

[n1l]

Вот указанные логи, сообщения похожие на отладчик процессов так и выскакивают, надпись возле часов осталась, про вирусы больше не пишет

[AndreyKa]

Отключите службу восстановления системы (см. Правила)
Скачайте утилиту CureIt ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
Проверьте ей весь компьютер в безопасном режиме загрузки Windows.
Найденные вредоносные файлы - лечить, неизлечимые - удалять.

[n1l]

Утилиту скачал, но дело в том что она соверашет перегрузку компьютера при запуске сканирования (аналогичным образом как и AVZ при отработке первого скрипта). Прогнал нодом с актуальными базами, толку ноль, посносил пару темпарей да и все. Ну и сообщения об ошибке с информацей о запускаемом процессе убрать неудалось, пробовал восстановление системы в АВЗ все пункты кроме последнего бестолку, с часами справлюсь сам.

[n1l]

Ребят, посоветуйте что делать! Часы пофиксил, остались сообщения! ну и перегрузка при проверке!

[AndreyKa]

Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
If CheckFile('%System32%\userini.exe') = 3 then
 begin
 AddToLog('Файл %System32%\userini.exe опознан как безопасный');
 CopyFile('%System32%\userini.exe', '%System32%\userinit.exe'); 
 If CheckFile('%System32%\userinit.exe') = 3 then
  AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') 
  else 
   begin 
   AddToLog('Внимание, файл %System32%\userinit.exe не опознан как безопасный!');
   If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
    begin
    AddToLog('Файл %System32%\dllcache\userinit.exe опознан как безопасный');
    CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
    If CheckFile('%System32%\userinit.exe') = 3 then
     AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
    end else
    AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
   end;
 end else 
  begin
  AddToLog('Внимание, файл %System32%\userini.exe не опознан как безопасный!');
  If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
    begin
    AddToLog('Файл %system32%\dllcache\userinit.exe опознан как безопасный');
    CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
    If CheckFile('%System32%\userinit.exe') = 3 then
     AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
    end else
    AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
  end;
SaveLog(GetAVZDirectory + 'userinit.log');

SetAVZGuardStatus(True);
 ExecuteRepair(6);
 ExecuteRepair(11);
 ExecuteRepair(17);
 DeleteService('SamSsSwPrv');
 DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Hns41.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Hppy79.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winpv73.sys');
 SysCleanAddFile('WinCtrl32.dll');
 SysCleanAddFile('WinNt32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Компьютер перезагрузится.
Приложите к теме файл userinit.log из папки AVZ.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.

[n1l]

В юзерините с кодировкой трабл вышел, буфер передавал (я на удаленном компьютере делаю и через Радмин передавал). Сообщения так и остались

[AndreyKa]

Уже лучше.
Теперь было бы не плохо установить SP 3 на Windows.
Обновить базы AVZ и сделать полный комплект логов.

[n1l]

Обновить на СП3 неполучится, компьютер удаленный. АВЗ пока тоже нет возможности закачать обновленный. Пверка утилитой CureIt прошла успешно, после выполнения проверки выслал карантин и полный комплект логов

[n1l]

Обновил АВЗ сделал логи. Остались только месагбоксы! Где еще эта падаль засела?!

[n1l]

Проблема не решилась. СП3 неприемлем, это ведь не должно быть причиной!

[pig]

СП3 неприемлем

Ну хоть заплатки все (около сотни) на SP2 поставить - будет почти то же самое, только без IE7.

[n1l]

Да дело в том что компьютер в другом городе, пользвоатель впринципе установить сможет но с возможными последствиями врядли справится, мне бы от сообщений избавится!

[n1l]

Уважаемые хелперы проблема не решена! Сообщения с заголовком Ошибка! и содержащая информацию о запускаемом процессе с параметрами запуска так и продолжают появлятся!

[PavelA]

Не удалилось почти ничего из того, что хотели
Попробуем повторить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\blphcperj0ej3j.scr','');
 DeleteFile('C:\WINDOWS\TEMP\47c1e586.tmp srv');
 DeleteFile('C:\WINDOWS\system32\blphcperj0ej3j.scr');
 DeleteService('SamSsSwPrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Возможно, это нужно сделать не из-под РАдмина, а из-под пользователя.
Сохрани этот скрипт у пользователя на машине и попытайся ему объяснить как это запустить. Еще есть вариант запуска AVZ через bat-файл с параметрами.

[n1l]

Сделал через пользователя. Высылаю логи и карантин
PS Сообщения остались.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 48
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\pebgkxwq.exe - Trojan.Win32.Vapsup.gpz (DrWEB: Trojan.Popuper.6635)
  2. c:\\windows\\rnopbfgt.dll - Trojan.Win32.Vapsup.goz (DrWEB: Trojan.Popuper.6396)
  3. c:\\windows\\rtsplgob.dll - Trojan.Win32.Vapsup.gqa (DrWEB: Trojan.Popuper.6332)
  4. c:\\windows\\system32\\basemufhk32.dll - Trojan.Win32.SubSys.ef (DrWEB: Trojan.Okuks.based)
  5. c:\\windows\\system32\\drivers\\winpv73.sys - Trojan-Downloader.Win32.Mutant.aim
  6. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.cjr (DrWEB: Trojan.Proxy.2003)
  7. c:\\windows\\system32\\userinit.exe - Trojan-Downloader.Win32.Agent.nzo (DrWEB: Trojan.DownLoader.62860)
  8. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  9. c:\\windows\\xkefqtgs.dll - Trojan.Win32.Vapsup.gpc (DrWEB: Trojan.Popuper.6395)
  10. \\2008-06-17\\bcqr00006.dta - Trojan-Downloader.Win32.Agent.nzo (DrWEB: Trojan.DownLoader.62860)
  11. \\2008-06-17\\bcqr00007.dta - Trojan-Downloader.Win32.Agent.nzo (DrWEB: Trojan.DownLoader.62860)
  12. \\2008-06-17\\bcqr00008.dta - Trojan-Spy.Win32.Zbot.cjr (DrWEB: Trojan.Proxy.2003)
  13. \\2008-06-17\\bcqr00009.dta - Trojan-Spy.Win32.Zbot.cjr (DrWEB: Trojan.Proxy.2003)
  14. \\2008-06-17\\bcqr00010.dta - Trojan-Downloader.Win32.Mutant.aim
  15. \\2008-06-17\\bcqr00011.dta - Trojan-Downloader.Win32.Mutant.aim
  16. \\2008-06-17\\bcqr00016.dta - Rootkit.Win32.Qandr.cv (DrWEB: Trojan.Spambot.3201)
  17. \\2008-06-17\\bcqr00017.dta - Rootkit.Win32.Qandr.cv (DrWEB: Trojan.Spambot.3201)
  18. \\2008-06-17\\bcqr00020.dta - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  19. \\2008-06-17\\bcqr00021.dta - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
  20. \\2008-06-17\\bcqr00022.dta - Trojan.Win32.SubSys.ef (DrWEB: Trojan.Okuks.based)
  21. \\2008-06-17\\bcqr00023.dta - Trojan.Win32.SubSys.ef (DrWEB: Trojan.Okuks.based)