Win32.NetBooster

Printable View

17.06.2008, 14:05
n1l

Вложений: 2

Win32.NetBooster

Присутствовало сообщение на рабочем столе "Warning! Spyware detected on your computer"(после нода убралось, теперь синий экран), возле часов надпись VIRUS ALERT!, в пуске подменю Настройки все вложенные подменю отсутсвуют, постоянно выскакивают месагбоксы с заголовком Ошибка и полным путем выполняемого файла с параметрами, также 3 ярлыка на рабочем столе с URL, сообщение обнаружена Spyware, после ответа ОК или Отмена вызывается окно браузера. Вроде все написал. Да и еще при выполнении скрипта на проверку/исправление комп ребутится.
17.06.2008, 15:11
AndreyKa

Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
SetAVZGuardStatus(True);
DelBHO('{E067413D-BC5E-4D4D-864D-A8932A9AC761}');
QuarantineFile('C:\WINDOWS\rtsplgob.dll','');
DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv73.sys','');
SetServiceStart('Hns41', 4);
DeleteService('Hns41');
SetServiceStart('Hppy79', 4);
DeleteService('Hppy79');
SetServiceStart('SamSsSwPrv', 4);
QuarantineFile('C:\WINDOWS\TEMP\47c1e586.tmp srv','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Hns41.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Hppy79.sys','');
QuarantineFile('C:\WINDOWS\xkefqtgs.dll','');
QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
QuarantineFile('C:\WINDOWS\system32\basemufhk32.dll','');
QuarantineFile('C:\WINDOWS\rnopbfgt.dll','');
SysCleanAddFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\rnopbfgt.dll');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\xkefqtgs.dll');
DeleteFile('C:\WINDOWS\rtsplgob.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
[url]http://virusinfo.info/upload_virus.php?tid=24754[/url]
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.
17.06.2008, 16:11
n1l

Вложений: 2

Ответ

Вот указанные логи, сообщения похожие на отладчик процессов так и выскакивают, надпись возле часов осталась, про вирусы больше не пишет:)
17.06.2008, 16:52
AndreyKa

[b]Отключите службу восстановления системы[/b] (см. Правила)
Скачайте утилиту CureIt [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url]
Проверьте ей весь компьютер в безопасном режиме загрузки Windows.
Найденные вредоносные файлы - лечить, неизлечимые - удалять.
17.06.2008, 18:38
n1l

Утилиту скачал, но дело в том что она соверашет перегрузку компьютера при запуске сканирования (аналогичным образом как и AVZ при отработке первого скрипта). Прогнал нодом с актуальными базами, толку ноль, посносил пару темпарей да и все. Ну и сообщения об ошибке с информацей о запускаемом процессе убрать неудалось, пробовал восстановление системы в АВЗ все пункты кроме последнего бестолку, с часами справлюсь сам.
18.06.2008, 16:19
n1l

Ребят, посоветуйте что делать! Часы пофиксил, остались сообщения! ну и перегрузка при проверке!
18.06.2008, 18:18
AndreyKa

Отключите антивирус.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
begin
If CheckFile('%System32%\userini.exe') = 3 then
begin
AddToLog('Файл %System32%\userini.exe опознан как безопасный');
CopyFile('%System32%\userini.exe', '%System32%\userinit.exe');
If CheckFile('%System32%\userinit.exe') = 3 then
AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный')
else
begin
AddToLog('Внимание, файл %System32%\userinit.exe не опознан как безопасный!');
If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
begin
AddToLog('Файл %System32%\dllcache\userinit.exe опознан как безопасный');
CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
If CheckFile('%System32%\userinit.exe') = 3 then
AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end else
AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end;
end else
begin
AddToLog('Внимание, файл %System32%\userini.exe не опознан как безопасный!');
If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
begin
AddToLog('Файл %system32%\dllcache\userinit.exe опознан как безопасный');
CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
If CheckFile('%System32%\userinit.exe') = 3 then
AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end else
AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
end;
SaveLog(GetAVZDirectory + 'userinit.log');

SetAVZGuardStatus(True);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
DeleteService('SamSsSwPrv');
DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Hns41.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Hppy79.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Winpv73.sys');
SysCleanAddFile('WinCtrl32.dll');
SysCleanAddFile('WinNt32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
[/code]
Компьютер перезагрузится.
Приложите к теме файл userinit.log из папки AVZ.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.
19.06.2008, 10:54
n1l

Вложений: 3

В юзерините с кодировкой трабл вышел, буфер передавал (я на удаленном компьютере делаю и через Радмин передавал). Сообщения так и остались
19.06.2008, 11:54
AndreyKa

Уже лучше.
Теперь было бы не плохо установить SP 3 на Windows.
Обновить базы AVZ и сделать полный комплект логов.
19.06.2008, 13:17
n1l

Вложений: 3

Обновить на СП3 неполучится, компьютер удаленный. АВЗ пока тоже нет возможности закачать обновленный. Пверка утилитой CureIt прошла успешно, после выполнения проверки выслал карантин и полный комплект логов
19.06.2008, 16:51
n1l

Вложений: 2

Обновил АВЗ сделал логи. Остались только месагбоксы! Где еще эта падаль засела?!
23.06.2008, 10:52
n1l

Проблема не решилась. СП3 неприемлем, это ведь не должно быть причиной!
23.06.2008, 12:07
pig

[QUOTE=n1l;245397]СП3 неприемлем[/QUOTE]
Ну хоть заплатки все (около сотни) на SP2 поставить - будет почти то же самое, только без IE7.
23.06.2008, 12:20
n1l

Да дело в том что компьютер в другом городе, пользвоатель впринципе установить сможет но с возможными последствиями врядли справится, мне бы от сообщений избавится!
24.06.2008, 11:31
n1l

Уважаемые хелперы проблема не решена! Сообщения с заголовком Ошибка! и содержащая информацию о запускаемом процессе с параметрами запуска так и продолжают появлятся!
24.06.2008, 13:32
PavelA

Не удалилось почти ничего из того, что хотели
Попробуем повторить:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blphcperj0ej3j.scr','');
DeleteFile('C:\WINDOWS\TEMP\47c1e586.tmp srv');
DeleteFile('C:\WINDOWS\system32\blphcperj0ej3j.scr');
DeleteService('SamSsSwPrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

Возможно, это нужно сделать не из-под РАдмина, а из-под пользователя.
Сохрани этот скрипт у пользователя на машине и попытайся ему объяснить как это запустить. Еще есть вариант запуска AVZ через bat-файл с параметрами.
24.06.2008, 15:17
n1l

Вложений: 3

Сделал через пользователя. Высылаю логи и карантин
PS Сообщения остались.
22.02.2009, 05:59
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]48[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\pebgkxwq.exe - [B]Trojan.Win32.Vapsup.gpz[/B] (DrWEB: Trojan.Popuper.6635)[*] c:\\windows\\rnopbfgt.dll - [B]Trojan.Win32.Vapsup.goz[/B] (DrWEB: Trojan.Popuper.6396)[*] c:\\windows\\rtsplgob.dll - [B]Trojan.Win32.Vapsup.gqa[/B] (DrWEB: Trojan.Popuper.6332)[*] c:\\windows\\system32\\basemufhk32.dll - [B]Trojan.Win32.SubSys.ef[/B] (DrWEB: Trojan.Okuks.based)[*] c:\\windows\\system32\\drivers\\winpv73.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.cjr[/B] (DrWEB: Trojan.Proxy.2003)[*] c:\\windows\\system32\\userinit.exe - [B]Trojan-Downloader.Win32.Agent.nzo[/B] (DrWEB: Trojan.DownLoader.62860)[*] c:\\windows\\system32\\winnt32.dll - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] c:\\windows\\xkefqtgs.dll - [B]Trojan.Win32.Vapsup.gpc[/B] (DrWEB: Trojan.Popuper.6395)[*] \\2008-06-17\\bcqr00006.dta - [B]Trojan-Downloader.Win32.Agent.nzo[/B] (DrWEB: Trojan.DownLoader.62860)[*] \\2008-06-17\\bcqr00007.dta - [B]Trojan-Downloader.Win32.Agent.nzo[/B] (DrWEB: Trojan.DownLoader.62860)[*] \\2008-06-17\\bcqr00008.dta - [B]Trojan-Spy.Win32.Zbot.cjr[/B] (DrWEB: Trojan.Proxy.2003)[*] \\2008-06-17\\bcqr00009.dta - [B]Trojan-Spy.Win32.Zbot.cjr[/B] (DrWEB: Trojan.Proxy.2003)[*] \\2008-06-17\\bcqr00010.dta - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] \\2008-06-17\\bcqr00011.dta - [B]Trojan-Downloader.Win32.Mutant.aim[/B][*] \\2008-06-17\\bcqr00016.dta - [B]Rootkit.Win32.Qandr.cv[/B] (DrWEB: Trojan.Spambot.3201)[*] \\2008-06-17\\bcqr00017.dta - [B]Rootkit.Win32.Qandr.cv[/B] (DrWEB: Trojan.Spambot.3201)[*] \\2008-06-17\\bcqr00020.dta - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] \\2008-06-17\\bcqr00021.dta - [B]Trojan-Downloader.Win32.Mutant.acm[/B] (DrWEB: BackDoor.Bulknet.206)[*] \\2008-06-17\\bcqr00022.dta - [B]Trojan.Win32.SubSys.ef[/B] (DrWEB: Trojan.Okuks.based)[*] \\2008-06-17\\bcqr00023.dta - [B]Trojan.Win32.SubSys.ef[/B] (DrWEB: Trojan.Okuks.based)[/LIST][/LIST]