Worm.Win32.NetBooster

**max** · 11.06.2008, 13:19

Постоянно появляется окно - Spyware Alert - с сообщением Worm.Win32.NetBooster...
Сам по себе открывается браузер и загружаются разные адреса – в основном ссылки на антивирусные программы.
В процессе работы в любом активном окне – окно становится не активным.
Работая в интернете – трудно удержать связь с нужным адресом – постоянно загружается какой-то новый (в основном ссылки на антивирусные программы)

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Numb** · 11.06.2008, 14:44

На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
Пофиксите с помощью Hijackthis строки

Код:

O4 - HKLM\..\Run: [744b2696] rundll32.exe "C:\WINDOWS\system32\jyivncjk.dll",b
O21 - SSODL: vltdfabw - {FE6AB4D0-6710-4D1E-B1AE-2635C7D66F65} - C:\WINDOWS\vltdfabw.dll
O21 - SSODL: vregfwlx - {5F41FC98-D60B-479A-A379-2E975FEA743C} - C:\WINDOWS\vregfwlx.dll
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

Программма AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\vcdplayx.exe','');
 QuarantineFile('C:\WINDOWS\xmpstean.exe','');
 QuarantineFile('C:\WINDOWS\system32\jyivncjk.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\ekN06.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\au0xi0k2.SYS','');
 QuarantineFile('C:\WINDOWS\vregfwlx.dll','');
 QuarantineFile('C:\WINDOWS\vltdfabw.dll','');
 QuarantineFile('C:\WINDOWS\system32\ljJYOedE.dll','');
 QuarantineFile('C:\WINDOWS\system32\efcCVOET.dll','');
 QuarantineFile('C:\WINDOWS\boqnrwdmwlf.dll','');
 DeleteFile('C:\WINDOWS\boqnrwdmwlf.dll');
 BC_DeleteFile('C:\WINDOWS\boqnrwdmwlf.dll');
 DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
 BC_DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
 DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
 DeleteFile('C:\WINDOWS\vltdfabw.dll');
 BC_DeleteFile('C:\WINDOWS\vltdfabw.dll');
 DeleteFile('C:\WINDOWS\vregfwlx.dll');
 BC_DeleteFile('C:\WINDOWS\vregfwlx.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\ekN06.sys');
 BC_DeleteFile('C:\WINDOWS\System32\Drivers\ekN06.sys');
 DeleteFile('C:\WINDOWS\system32\jyivncjk.dll');
 BC_DeleteFile('C:\WINDOWS\system32\jyivncjk.dll');
 DeleteFile('C:\WINDOWS\xmpstean.exe');
 BC_DeleteFile('C:\WINDOWS\xmpstean.exe');
 BC_DeleteSvc('ekN06');
 DelBHO('{DBBABB93-DDBC-48CA-B6BE-7F85E50D8FC7}');
 DelBHO('{4F26BEDB-D89B-44A1-948B-5D523292DADF}');
 DelBHO('{4998BA3C-EB49-4C16-B583-1288569F7AF0}');
 DelBHO('{47815018-7ECF-452C-9FAF-4315F8211254}');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
Executerepair(1);
executerepair(6);
executerepair(11);
executerepair(17);
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24416 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.

**max** · 11.06.2008, 16:39

Спасибо, готово! система работает стабильно, сообщения о вирусах не появляются. В трее при перезагрузке компа появились многие программы, автозапуск которых я давно отменил (ну это - мелочь по сравнению с тем, что было). Инструкции ещё будут?

При входе в Windows появляется окно – 16-разрядная подсистема MS-DOS – в котором написано:
C:\PROGRA~1\VDOTool\UI\BIOSCTL.EXE
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT Системный файл не предназначен для выполнения приложений MS-DOS и Microsoft Windows. Для завершения работы приложения нажмите кнопку «Закрыть».

**Numb** · 11.06.2008, 18:39

Много всего еще

Пофиксите с помощью Hijackthis строки:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2
O2 - BHO: (no name) - {4F26BEDB-D89B-44A1-948B-5D523292DADF} - C:\WINDOWS\system32\efcCVOET.dll (file missing)
O2 - BHO: (no name) - {C2648111-28C7-404C-9965-E39374BD17A7} - C:\WINDOWS\system32\ljJYOedE.dll (file missing)
O4 - HKLM\..\Run: [vcdplayx] "C:\WINDOWS\vcdplayx.exe"
O20 - Winlogon Notify: efcCVOET - efcCVOET.dll (file missing)
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Common Files\VideoMate\ComproScheduler.exe','');
 QuarantineFile('C:\Program Files\Common Files\VideoMate\ComproRemote.exe','');
 QuarantineFile('c:\program files\multikeyboard driver\kbddrv.exe','');
 QuarantineFile('c:\program files\enhancekeyboard\kb_2k.exe','');
 QuarantineFile('C:\WINDOWS\vcdplayx.exe','');
 DeleteFile('C:\WINDOWS\vcdplayx.exe');
 BC_DeleteFile('C:\WINDOWS\vcdplayx.exe');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('efcCVOET.dll');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
 BC_DeleteFile('C:\WINDOWS\system32\efcCVOET.dll');
 DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
 BC_DeleteFile('C:\WINDOWS\system32\ljJYOedE.dll');
 DelBHO('{C2648111-28C7-404C-9965-E39374BD17A7}');
 DelBHO('{4F26BEDB-D89B-44A1-948B-5D523292DADF}');
DelWinlogonNotifyByFileName('WinCtrl32.dll');
DelWinlogonNotifyByFileName('efcCVOET.dll');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=24416 , как написано в прил. 3 правил, запустите программу AVZ - верхнее меню - AVZPM - выберите "Установить драйвер расширенного мониторинга процессов" - перезагрузите машину. После перезагрузки, повторите логи.

**max** · 11.06.2008, 19:22

Спасибо, готово!

**V_Bond** · 11.06.2008, 19:45

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('UleadBurningHelper');
 QuarantineFile('UleadBurningHelper.sys','');
 BC_DeleteSvc('Prime95 Service');
 QuarantineFile('Prime95 Service.sys','');
 QuarantineFile('C:\WINDOWS\system32\34com.dll','');
 DeleteFile('Prime95 Service.sys');
 DeleteFile('UleadBurningHelper.sys');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**max** · 11.06.2008, 20:19

Все сделал!

**V_Bond** · 11.06.2008, 20:25

ничего плохого не видно ...
что с вашими проблемами ?

**max** · 11.06.2008, 20:33

Осталось 2 вопросса:

1. При входе в Windows появляется окно – 16-разрядная подсистема MS-DOS – в котором написано:
C:\PROGRA~1\VDOTool\UI\BIOSCTL.EXE
C:\WINDOWS\SYSTEM32\AUTOEXEC.NT Системный файл не предназначен для выполнения приложений MS-DOS и Microsoft Windows. Для завершения работы приложения нажмите кнопку «Закрыть».

2. Надпись "VIRUS ALERT!" - возле системных часов.

В остальном все в порядке!

**V_Bond** · 11.06.2008, 20:44

1 .
пофиксите ...

Код:

O4 - HKLM\..\Run: [Gainward] C:\Program Files\VDOTool\TBPanel.exe /A

2 пуск - выполнить - regedit

HKEY_CURRENT_USER\Control panel\International\
sTimeFormat исправте на значение HH:mm:ss

**max** · 11.06.2008, 21:14

спасибо, все ОК!!!

Worm.Win32.NetBooster (заявка № 24416)

Опции темы