Последствия вирусов.

**ma-goo** · 10.04.2010, 16:27

При запуске компьютер выдаёт такую ошибку: hspe.uvo не найден указанный модуль.
Когда первый раз после включения запускаю Opera, то пишет, что нет прав на запуск приложения. Со второго раза запускается.
Также такая ошибка бывает: services.exe - ошибка приложения. Память не может быть "read".

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**polword** · 10.04.2010, 16:32

1. Профиксите в HijackThis как "профиксить в HiJackThis"

Код:

F2 - REG:system.ini: Shell=explorer.exe rundll32.exe hspe.uvo bnjpid

2.Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('c:\windows\system32\sdra64.exe','');
 QuarantineFile('c:\windows\system32\841ea0d2.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\sfsync02.sys','');
 DeleteFile('c:\windows\system32\841ea0d2.exe');
 DeleteFile('c:\windows\system32\sdra64.exe');
 QuarantineFile('c:\windows\system32\hspe.uvo','');
 DeleteFile('c:\windows\system32\hspe.uvo');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(16);
 ExecuteWizard('SCU', 2, 2, true);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

**ma-goo** · 10.04.2010, 17:04

Повторные логи.

**thyrex** · 10.04.2010, 18:39

Что сейчас с проблемами?

**ma-goo** · 12.04.2010, 18:12

Всё в порядке, спасибо.

**thyrex** · 12.04.2010, 21:27

Установите Internet Explorer 8
Обновите JavaRE

**ma-goo** · 13.04.2010, 15:11

Установила рекомендованную версия Java (Version 6 Update 19).
Internet Explorer 8 установить не удалось, т.к. когда программа пишет, что на компьютере не было установлено необходимое обновление. Нажмите "загрузить", чтобы установить обновление вручную. Я нажимаю "Загрузка", переводится на сайт http://www.microsoft.com/downloads/d...5-b3142ca2fe85, там загружаю обновление (Краткие сведения. Имя файла: WindowsXP-KB932823-v3-x86-RUS.exe, Версия: 932823, Статьи базы знаний: KB932823, Дата размещения: 28.05.2008, Язык: Русский, Размер загружаемого файла: 621 КБ). Загрузив обновление, устанавливаю его и далее возникает такая ошибка:
ошибка программы установки KB-932823-v3. Пограмма установки обнаружила, что версия уже установленного пакета обновления выше, чем данное обновление. Установить данное обновление не удалось.

**polword** · 13.04.2010, 15:18

Сделайте лог MBAM.

**ma-goo** · 13.04.2010, 17:32

Лог MBAM.

**polword** · 13.04.2010, 17:41

удалите в MBAM

Код:

Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Netprotocol (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_NETPROTOCOL (Trojan.Agent) -> No action taken.
HKEY_CLASSES_ROOT\WUSN.1 (Adware.WhenU) -> No action taken.
HKEY_CLASSES_ROOT\idid (Trojan.Sasfix) -> No action taken.

Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.

Зараженные файлы:
E:\Program Files\Total Commander\Plugins\arc\Default.sfx (Malware.Packer) -> No action taken.
E:\Program Files\Total Commander\Utilites\SFX Tool\Upack.exe (Malware.Packer) -> No action taken.
E:\WINDOWS\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
C:\Program Files\Common Files\keylog.txt (Malware.Trace) -> No action taken.

от этих кейгенов лучше избавиться

Код:

F:\МИИТ\4 курс\Вычислительные системы и сети\vmware6\VM.6.0.2.59824.BY.SOFT-BEST.NET\VMware.Workstation_6.0.2.59824\keygen.exe
F:\Программы\BlueSoleil 6.4.249.0WithMobile\keygen.exe

- Выполните скрипт в AVZ

Код:

begin
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('F:\Приколы\Фрюли\GUN.EXE','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы

**ma-goo** · 13.04.2010, 19:57

Файл quarantine.zip из папки AVZ закачан.

**polword** · 13.04.2010, 21:55

повторите лог MBAM

**ma-goo** · 14.04.2010, 11:46

Повторный лог MBAM.

**polword** · 14.04.2010, 12:21

удалите в MBAM

Код:

Зараженные файлы:
E:\Полученные файлы\Лечение\avz4\Quarantine\2010-04-13\avz00001.dta (Joke.Winshoot) -> No action taken.
F:\Приколы\Фрюли\GUN.EXE (Joke.Winshoot) -> No action taken.

Добавлено через 37 секунд

повторите лог MBAM

**ma-goo** · 14.04.2010, 13:37

Повторный лог MBAM.

**polword** · 16.04.2010, 08:39

чисто

**ma-goo** · 16.04.2010, 18:34

Сообщение от ma-goo

Установила рекомендованную версия Java (Version 6 Update 19).
Internet Explorer 8 установить не удалось, т.к. когда программа пишет, что на компьютере не было установлено необходимое обновление. Нажмите "загрузить", чтобы установить обновление вручную. Я нажимаю "Загрузка", переводится на сайт http://www.microsoft.com/downloads/d...5-b3142ca2fe85, там загружаю обновление (Краткие сведения. Имя файла: WindowsXP-KB932823-v3-x86-RUS.exe, Версия: 932823, Статьи базы знаний: KB932823, Дата размещения: 28.05.2008, Язык: Русский, Размер загружаемого файла: 621 КБ). Загрузив обновление, устанавливаю его и далее возникает такая ошибка:
ошибка программы установки KB-932823-v3. Пограмма установки обнаружила, что версия уже установленного пакета обновления выше, чем данное обновление. Установить данное обновление не удалось.

проблема с установкой Internet Explorer 8 ещё существует

**AndreyKa** · 18.04.2010, 23:41

Не надо было в реестре химичить, обманывать Windows будто он SP3, а не SP2!

**ma-goo** · 20.04.2010, 19:22

Понятно. Спасибо))))

Добавлено через 1 час 41 минуту

а как обратно поменять? подскажите, пожалуйста.

**ma-goo** · 21.04.2010, 09:54

Уже не нужно. Сама поменяла, но теперь не обновляется winda:-(

Последствия вирусов. (заявка № 75817)

Опции темы