Win32.BHO и еще куча

Printable View

27.05.2008, 07:09
Dunkelheit

Win32.BHO и еще куча

А также постоянно вылезает окно "Необходима перезагрузка системы"
Посмотрите пожалуста
27.05.2008, 07:34
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Internet Explorer\setupapi.dll','');
QuarantineFile('C:\WINDOWS\Temp\gold.exe','');
QuarantineFile('C:\WINDOWS\efvr.exe','');
QuarantineFile('C:\WINDOWS\Temp\IcnOvrly.dll','');
QuarantineFile('C:\WINDOWS\system32\ipv6monl.dll','');
QuarantineFile('C:\WINDOWS\nldfmtapowe.dll','');
QuarantineFile('C:\WINDOWS\system32\guvt472.exe','');
QuarantineFile('C:\WINDOWS\taskmon.exe','');
QuarantineFile('C:\WINDOWS\system32\vedxg6ame4.exe','');
QuarantineFile('C:\WINDOWS\system32\maxpaynow1.exe','');
QuarantineFile('C:\WINDOWS\system32\hdxjd4g.dll','');
QuarantineFile('C:\WINDOWS\system32\djki397g.dll','');
QuarantineFile('C:\WINDOWS\pxgdslro.dll','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\Documents and Settings\Пользователь\cftmon.exe','');
QuarantineFile('C:\Documents and Settings\LocalService\cftmon.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Chk83.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\spools.exe','');
QuarantineFile('c:\windows\system32\mssrv32.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Xdg50.sys','');
QuarantineFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\0PgHiNDa.sys','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\gnowmebk.dll','');
QuarantineFile('C:\Documents and Settings\Пользователь\ie_updates3r.exe','');
QuarantineFile('c:\autoex.dll','');
DeleteFile('c:\autoex.dll');
DeleteFile('C:\Documents and Settings\Пользователь\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\gnowmebk.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\DOCUME~1\86C2~1\LOCALS~1\Temp\0PgHiNDa.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Xdg50.sys');
DeleteFile('c:\windows\system32\mssrv32.exe');
DeleteFile('C:\WINDOWS\system32\drivers\spools.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Chk83.sys');
DeleteFile('C:\Documents and Settings\LocalService\cftmon.exe');
DeleteFile('C:\Documents and Settings\Пользователь\cftmon.exe');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\pxgdslro.dll');
DeleteFile('C:\WINDOWS\system32\djki397g.dll');
DeleteFile('C:\WINDOWS\system32\hdxjd4g.dll');
DeleteFile('C:\WINDOWS\system32\maxpaynow1.exe');
DeleteFile('C:\WINDOWS\system32\vedxg6ame4.exe');
DeleteFile('C:\WINDOWS\taskmon.exe');
DeleteFile('C:\WINDOWS\system32\guvt472.exe');
DeleteFile('C:\WINDOWS\nldfmtapowe.dll');
DeleteFile('C:\WINDOWS\system32\ipv6monl.dll');
DeleteFile('C:\WINDOWS\Temp\IcnOvrly.dll');
DeleteFile('C:\WINDOWS\efvr.exe');
DeleteFile('C:\WINDOWS\Temp\gold.exe');
DeleteFile('C:\Program Files\Internet Explorer\setupapi.dll');
DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
DelBHO('{36DBC179-A19F-48F2-B16A-6A3E19B42A87}');
DelBHO('{13B80BBC-97B5-4124-A5D8-72C3390A095D}');
BC_ImportALL;
BC_DeleteSvc('Chk83');
BC_DeleteSvc('Xbo24');
ExecuteSysClean;
ExecuteRepair(9);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=23475[/url]).
Сделайте новые логи.
27.05.2008, 08:18
Dunkelheit

Восстановление системы не мог отключить, т.к. при заходе в свойства системы выдавалась ошибка.
Карантин загрузил.
Логи во вложении.
27.05.2008, 08:41
Bratez

Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\guvt472.exe"
O20 - Winlogon Notify: abc32reg - C:\Documents and Settings\All Users\Документы\Settings\abc32.dll (file missing)
O20 - Winlogon Notify: WinNt32 - WinNt32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
После этого отключите восстановление - уже должно получиться.
Сделайте новые логи, начиная с п.10 правил.
27.05.2008, 09:23
Dunkelheit

Восстановление отключилось.
Логи повторяю.
27.05.2008, 10:05
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{435CB88B-ED83-40F8-A5BC-B2CC9807437B}: NameServer = 85.255.113.147,85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.138
O17 - HKLM\System\CS1\Services\Tcpip\..\{435CB88B-ED83-40F8-A5BC-B2CC9807437B}: NameServer = 85.255.113.147,85.255.112.138
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.138
O17 - HKLM\System\CS2\Services\Tcpip\..\{435CB88B-ED83-40F8-A5BC-B2CC9807437B}: NameServer = 85.255.113.147,85.255.112.138
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.147 85.255.112.138[/CODE]

В логах чисто,жалобы есть?
27.05.2008, 10:07
Dunkelheit

Пофиксил.
Сейчас посмотрел, нормально работает всё без нареканий
Большое спасибо всем
27.05.2008, 10:10
Гриша

Нам интересно[URL="http://virusinfo.info/showthread.php?t=19883"] Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".