-
Junior Member
- Вес репутации
- 53
Какая-то новая жестокая СМС-зараза, не смог справиться
Было окно типа какогото 1 час бесплатного порно, от него по шустрому избавился через far. Лажовая часть.
Подозрительные файлы, удалил
на virustotal:
userlib.dll - никем не опредляется до сих пор
das475.tmp - Kaspersky 7.0.0.125 2009.12.28 Trojan-Ransom.Win32.PogBlock.oo (опредяется 2 антивирями только)
Но дальше я застрял.
Нерешенные мною и avz задачи для исправления:
Функция NtClose (19) перехвачена (80567A6D->AE2096B, перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtCreateKey (29) перехвачена (80572E9D->AE209574), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtDeleteValueKey (41) перехвачена (80592D50->AE209A52), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtDuplicateObject (44) перехвачена (80573FE9->AE20914C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtEnumerateKey (47) перехвачена (805735A4->F746CCA2), перехватчик splg.sys
Функция NtEnumerateValueKey (49) перехвачена (80590669->F746D030), перехватчик splg.sys
Функция NtOpenKey (77) перехвачена (80568EE9->AE20964E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtOpenProcess (7A) перехвачена (805741D0->AE20908C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtOpenThread (80) перехвачена (8058B58D->AE2090F0), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtQueryKey (A0) перехвачена (805732AD->F746D10, перехватчик splg.sys
Функция NtQueryValueKey (B1) перехвачена (8056A382->AE20976E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtRestoreKey (CC) перехвачена (8064ED05->AE20972E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Функция NtSetValueKey (F7) перехвачена (80579A43->AE2098AE), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
Проверено функций: 284, перехвачено: 13, восстановлено: 0
Этот самый splg.sys при каждой загрузке имеет новое имя формата sp??.sys. На диске его не нашел...
1.5 Проверка обработчиков IRP
\FileSystem\ntfs[IRP_MJ_CREATE] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FDA1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 86FDA1F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CREATE] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_CLOSE] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_WRITE] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_EA] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_EA] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 865E21F8 -> перехватчик не определен
\FileSystem\FastFat[IRP_MJ_PNP] = 865E21F8 -> перехватчик не определен
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Ошибка LSP Protocol = "UserLib over [MSAFD Tcpip [TCP/IP]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD Tcpip [UDP/IP]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD Tcpip [RAW/IP]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [RSVP UDP Service Provider]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [RSVP TCP Service Provider]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{8AC4904A-5005-4B26-86E0-75BD61F46D9B}] SEQPACKET 0]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{8AC4904A-5005-4B26-86E0-75BD61F46D9B}] DATAGRAM 0]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{A94DA5F8-ABC7-45A6-9BBC-AE00F52367CA}] SEQPACKET 1]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{A94DA5F8-ABC7-45A6-9BBC-AE00F52367CA}] DATAGRAM 1]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{26C25F6E-8A61-47CC-A3F8-72088D4E186A}] SEQPACKET 2]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{26C25F6E-8A61-47CC-A3F8-72088D4E186A}] DATAGRAM 2]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{5BD16968-5066-4A34-9811-DF269FD0B630}] SEQPACKET 3]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{5BD16968-5066-4A34-9811-DF269FD0B630}] DATAGRAM 3]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{27714D61-3ADC-40D0-88BE-2449B2C71CBD}] SEQPACKET 4]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{27714D61-3ADC-40D0-88BE-2449B2C71CBD}] DATAGRAM 4]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib over [MSAFD nwlnkipx [IPX]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Ошибка LSP Protocol = "UserLib" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 17
После их автоматического исправления винда не грузится, торчит в районе экрана приветствия, декстоп не появляется... Как бы их восстановить?
Этого компа под рукой нет, инет на нем тоже не работает, подскажите пожалуйста наилучший способ избавиться от этой гадости
Последний раз редактировалось zhorzh; 28.12.2009 в 20:14.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
-