три иконки на десктопе - viruswebprotect2008.com

[Док]

Зараза ведет себя следующим образом:
1. создает три иконки на десктопе - все ведут на viruswebprotect2008.com
2. подменяет "домашнюю страницу" эксплорера - softwarereferral.com/jump.php?wmid=6010&mid=MjI6Ojg5&lid=2 которая редиректит на www.sys-cleaner.com/?wmid=6010&mid=MjI6NDA6ODk=&lndid=40
3. постоянно (раз в 2-3 минуты) вываливается предупреждение о том, что компьютер заражен и срочно требуется проверка

4. изредка самозапускается новое окно эксплорера со страницей xpantivirussecurity.com/2008/2/_freescan.php?aid=880028
5. после 20-30 минут работы в системном трее появляется иконка (красный кружок с белым крестом внутри), который не реагирует на левую и правую кнопки мыши. Из него лезут предупреждения о том, что компьютер заражен.
6. В диспетчере задач НИКАКИХ левых процессов нет - все всплывающие сообщения порождаются процессами iexplore.exe и csrss.exe
7. Процесс, порождающий иконку в трее установить не удалось.

Заранее благодарен за любую помощь.

[Гриша]

Отключите антивирус!

Пофиксить

Код:

O3 - Toolbar: (no name) - {E738884B-E75D-4AC3-B03F-62F7E7DD853E} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{7600E72B-389F-43A1-9E88-2205FA2A7595}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{94CA07BB-DF9C-4EE9-BFAC-F1F91300360B}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\..\{D5EBCAF9-91C0-4714-9B69-751B044B7CE2}: NameServer = 85.255.116.146,85.255.112.88
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.88
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.146 85.255.112.88
O21 - SSODL: vbksrofa - {8D1CD256-0B2E-4FA1-A44C-A7084E205F6C} - C:\WINDOWS\vbksrofa.dll
O21 - SSODL: mpfanvqg - {D7AEAC0C-25AA-4259-B632-D5E328D8B59D} - C:\WINDOWS\mpfanvqg.dll

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('tuvVOFXn.dll','');
 QuarantineFile('kdifv.exe','');
 QuarantineFile('WLCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\msjava32.dll','');     
 QuarantineFile('C:\WINDOWS\System32\Drivers\Vbf26.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ein37.sys','');
 QuarantineFile('C:\WINDOWS\vbksrofa.dll','');
 QuarantineFile('C:\WINDOWS\system32\tuvVOFXn.dll','');
 QuarantineFile('C:\WINDOWS\system32\nnnNdcda.dll','');
 QuarantineFile('C:\WINDOWS\mpfanvqg.dll','');
 QuarantineFile('C:\WINDOWS\fvowketqonp.dll','');
 DeleteService('Ein37');
 DeleteService('Vbf26');
 DeleteFile('C:\WINDOWS\fvowketqonp.dll');
 DeleteFile('C:\WINDOWS\mpfanvqg.dll');
 DeleteFile('C:\WINDOWS\system32\nnnNdcda.dll');
 DeleteFile('C:\WINDOWS\system32\tuvVOFXn.dll');
 DeleteFile('C:\WINDOWS\vbksrofa.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ein37.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Vbf26.sys');
 DeleteFile('WLCtrl32.dll');
 DeleteFile('kdifv.exe');
 DeleteFile('C:\WINDOWS\system32\kdifv.exe');
 DeleteFile('tuvVOFXn.dll');
 DelBHO('{D6309B93-6C78-47FF-A4F9-FDDD28EAE1D3}');
 DelBHO('{89A9CC26-4818-4FFD-82E0-9C3CF815FEB2}');
 DelBHO('{2E529F87-2B52-438C-9E7C-7D0A0DD910BA}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6 );
ExecuteRepair(8 );
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=23058

MyWebSearch удалите это адваре,повторите логи.

[Док]

Спасибо!
Все вроде хорошо, карантин выслал.

Извините за бестолковость, но как удалить адваре?

[Гриша]

Через установку/удаление программ.

Логи повторите.

tuvVOFXn.dll-Trojan-Downloader.Win32.ConHook.rt
vbksrofa.dll,fvowketqonp.dll-Trojan.Win32.Vapsup.ffv
msjava32.dll,mpfanvqg.dll-свежие

[Док]

в установке\удалении ничего похожего не нашел

[Гриша]

Пофиксить

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: ShoppingReport - {100EB1FD-D03E-47FD-81F3-EE91287F9465} - C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll (file missing)
O2 - BHO: (no name) - {209C8206-29C7-45A9-8AA0-1CA27F024D7E} - C:\WINDOWS\system32\nnnNdcda.dll (file missing)
O2 - BHO: (no name) - {2E529F87-2B52-438C-9E7C-7D0A0DD910BA} - C:\WINDOWS\system32\tuvVOFXn.dll (file missing)
O2 - BHO: Microsoft MSJava 32 - {43F7497C-7687-4DEA-A057-F21BD81BC896} - C:\WINDOWS\system32\msjava32.dll
O20 - Winlogon Notify: tuvVOFXn - C:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{43F7497C-7687-4DEA-A057-F21BD81BC896}');
 DelBHO('{2E529F87-2B52-438C-9E7C-7D0A0DD910BA}');
 DelBHO('{209C8206-29C7-45A9-8AA0-1CA27F024D7E}');
 DelBHO('{100EB1FD-D03E-47FD-81F3-EE91287F9465}');
 DelBHO('{00A6FAF1-072E-44cf-8957-5838F569A31D}');
 DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL');
 DeleteFile('C:\Program Files\ShoppingReport\Bin\2.0.26\ShoppingReport.dll');
 DeleteFile('C:\WINDOWS\system32\nnnNdcda.dll');
 DeleteFile('C:\WINDOWS\system32\tuvVOFXn.dll');
 DeleteFile('C:\WINDOWS\system32\msjava32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи.

[Док]

спасибо за помощь!

[Гриша]

Чисто,жалобы есть?

[Док]

жалоб нет, спасибище агромадное!

[Гриша]

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".