Показано с 1 по 18 из 18.

Win32.NetBooster (заявка № 24754)

  1. #1
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35

    Question Win32.NetBooster

    Присутствовало сообщение на рабочем столе "Warning! Spyware detected on your computer"(после нода убралось, теперь синий экран), возле часов надпись VIRUS ALERT!, в пуске подменю Настройки все вложенные подменю отсутсвуют, постоянно выскакивают месагбоксы с заголовком Ошибка и полным путем выполняемого файла с параметрами, также 3 ярлыка на рабочем столе с URL, сообщение обнаружена Spyware, после ответа ОК или Отмена вызывается окно браузера. Вроде все написал. Да и еще при выполнении скрипта на проверку/исправление комп ребутится.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     DelBHO('{E067413D-BC5E-4D4D-864D-A8932A9AC761}');
     QuarantineFile('C:\WINDOWS\rtsplgob.dll','');
     DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv73.sys','');
     SetServiceStart('Hns41', 4);
     DeleteService('Hns41');
     SetServiceStart('Hppy79', 4);
     DeleteService('Hppy79');
     SetServiceStart('SamSsSwPrv', 4);
     QuarantineFile('C:\WINDOWS\TEMP\47c1e586.tmp srv','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Hns41.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Hppy79.sys','');
     QuarantineFile('C:\WINDOWS\xkefqtgs.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinNt32.dll','');
     QuarantineFile('C:\WINDOWS\system32\basemufhk32.dll','');
     QuarantineFile('C:\WINDOWS\rnopbfgt.dll','');
    SysCleanAddFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\rnopbfgt.dll');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\xkefqtgs.dll');
     DeleteFile('C:\WINDOWS\rtsplgob.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
    http://virusinfo.info/upload_virus.php?tid=24754
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.

  4. #3
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35

    Ответ

    Вот указанные логи, сообщения похожие на отладчик процессов так и выскакивают, надпись возле часов осталась, про вирусы больше не пишет
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Отключите службу восстановления системы (см. Правила)
    Скачайте утилиту CureIt ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe
    Проверьте ей весь компьютер в безопасном режиме загрузки Windows.
    Найденные вредоносные файлы - лечить, неизлечимые - удалять.

  6. #5
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Утилиту скачал, но дело в том что она соверашет перегрузку компьютера при запуске сканирования (аналогичным образом как и AVZ при отработке первого скрипта). Прогнал нодом с актуальными базами, толку ноль, посносил пару темпарей да и все. Ну и сообщения об ошибке с информацей о запускаемом процессе убрать неудалось, пробовал восстановление системы в АВЗ все пункты кроме последнего бестолку, с часами справлюсь сам.
    Последний раз редактировалось n1l; 17.06.2008 в 19:24.

  7. #6
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Ребят, посоветуйте что делать! Часы пофиксил, остались сообщения! ну и перегрузка при проверке!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Отключите антивирус.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    If CheckFile('%System32%\userini.exe') = 3 then
     begin
     AddToLog('Файл %System32%\userini.exe опознан как безопасный');
     CopyFile('%System32%\userini.exe', '%System32%\userinit.exe'); 
     If CheckFile('%System32%\userinit.exe') = 3 then
      AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') 
      else 
       begin 
       AddToLog('Внимание, файл %System32%\userinit.exe не опознан как безопасный!');
       If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
        begin
        AddToLog('Файл %System32%\dllcache\userinit.exe опознан как безопасный');
        CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
        If CheckFile('%System32%\userinit.exe') = 3 then
         AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
        end else
        AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
       end;
     end else 
      begin
      AddToLog('Внимание, файл %System32%\userini.exe не опознан как безопасный!');
      If CheckFile('%System32%\dllcache\userinit.exe') = 3 then
        begin
        AddToLog('Файл %system32%\dllcache\userinit.exe опознан как безопасный');
        CopyFile('%System32%\dllcache\userinit.exe', '%System32%\userinit.exe');
        If CheckFile('%System32%\userinit.exe') = 3 then
         AddToLog('Файл %System32%\userinit.exe теперь опознан как безопасный') else AddToLog('Внимание, файл %system32%\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
        end else
        AddToLog('Внимание, файл %System32%\dllcache\userinit.exe не опознан как безопасный. Рекомендуется выполнить sfc /scannow');
      end;
    SaveLog(GetAVZDirectory + 'userinit.log');
    
    SetAVZGuardStatus(True);
     ExecuteRepair(6);
     ExecuteRepair(11);
     ExecuteRepair(17);
     DeleteService('SamSsSwPrv');
     DeleteFile('C:\WINDOWS\system32\WinNt32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Hns41.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Hppy79.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winpv73.sys');
     SysCleanAddFile('WinCtrl32.dll');
     SysCleanAddFile('WinNt32.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(false);
    end.
    Компьютер перезагрузится.
    Приложите к теме файл userinit.log из папки AVZ.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к вашей теме.

  9. #8
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    В юзерините с кодировкой трабл вышел, буфер передавал (я на удаленном компьютере делаю и через Радмин передавал). Сообщения так и остались
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Уже лучше.
    Теперь было бы не плохо установить SP 3 на Windows.
    Обновить базы AVZ и сделать полный комплект логов.

  11. #10
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Обновить на СП3 неполучится, компьютер удаленный. АВЗ пока тоже нет возможности закачать обновленный. Пверка утилитой CureIt прошла успешно, после выполнения проверки выслал карантин и полный комплект логов
    Вложения Вложения

  12. #11
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Обновил АВЗ сделал логи. Остались только месагбоксы! Где еще эта падаль засела?!
    Вложения Вложения
    Последний раз редактировалось n1l; 20.06.2008 в 10:42.

  13. #12
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Проблема не решилась. СП3 неприемлем, это ведь не должно быть причиной!

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Цитата Сообщение от n1l Посмотреть сообщение
    СП3 неприемлем
    Ну хоть заплатки все (около сотни) на SP2 поставить - будет почти то же самое, только без IE7.

  15. #14
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Да дело в том что компьютер в другом городе, пользвоатель впринципе установить сможет но с возможными последствиями врядли справится, мне бы от сообщений избавится!

  16. #15
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Уважаемые хелперы проблема не решена! Сообщения с заголовком Ошибка! и содержащая информацию о запускаемом процессе с параметрами запуска так и продолжают появлятся!

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Не удалилось почти ничего из того, что хотели
    Попробуем повторить:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\blphcperj0ej3j.scr','');
     DeleteFile('C:\WINDOWS\TEMP\47c1e586.tmp srv');
     DeleteFile('C:\WINDOWS\system32\blphcperj0ej3j.scr');
     DeleteService('SamSsSwPrv');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Возможно, это нужно сделать не из-под РАдмина, а из-под пользователя.
    Сохрани этот скрипт у пользователя на машине и попытайся ему объяснить как это запустить. Еще есть вариант запуска AVZ через bat-файл с параметрами.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    17.06.2008
    Сообщений
    11
    Вес репутации
    35
    Сделал через пользователя. Высылаю логи и карантин
    PS Сообщения остались.
    Вложения Вложения
    Последний раз редактировалось n1l; 26.06.2008 в 08:44.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 48
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\pebgkxwq.exe - Trojan.Win32.Vapsup.gpz (DrWEB: Trojan.Popuper.6635)
      2. c:\\windows\\rnopbfgt.dll - Trojan.Win32.Vapsup.goz (DrWEB: Trojan.Popuper.6396)
      3. c:\\windows\\rtsplgob.dll - Trojan.Win32.Vapsup.gqa (DrWEB: Trojan.Popuper.6332)
      4. c:\\windows\\system32\\basemufhk32.dll - Trojan.Win32.SubSys.ef (DrWEB: Trojan.Okuks.based)
      5. c:\\windows\\system32\\drivers\\winpv73.sys - Trojan-Downloader.Win32.Mutant.aim
      6. c:\\windows\\system32\\ntos.exe - Trojan-Spy.Win32.Zbot.cjr (DrWEB: Trojan.Proxy.2003)
      7. c:\\windows\\system32\\userinit.exe - Trojan-Downloader.Win32.Agent.nzo (DrWEB: Trojan.DownLoader.62860)
      8. c:\\windows\\system32\\winnt32.dll - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
      9. c:\\windows\\xkefqtgs.dll - Trojan.Win32.Vapsup.gpc (DrWEB: Trojan.Popuper.6395)
      10. \\2008-06-17\\bcqr00006.dta - Trojan-Downloader.Win32.Agent.nzo (DrWEB: Trojan.DownLoader.62860)
      11. \\2008-06-17\\bcqr00007.dta - Trojan-Downloader.Win32.Agent.nzo (DrWEB: Trojan.DownLoader.62860)
      12. \\2008-06-17\\bcqr00008.dta - Trojan-Spy.Win32.Zbot.cjr (DrWEB: Trojan.Proxy.2003)
      13. \\2008-06-17\\bcqr00009.dta - Trojan-Spy.Win32.Zbot.cjr (DrWEB: Trojan.Proxy.2003)
      14. \\2008-06-17\\bcqr00010.dta - Trojan-Downloader.Win32.Mutant.aim
      15. \\2008-06-17\\bcqr00011.dta - Trojan-Downloader.Win32.Mutant.aim
      16. \\2008-06-17\\bcqr00016.dta - Rootkit.Win32.Qandr.cv (DrWEB: Trojan.Spambot.3201)
      17. \\2008-06-17\\bcqr00017.dta - Rootkit.Win32.Qandr.cv (DrWEB: Trojan.Spambot.3201)
      18. \\2008-06-17\\bcqr00020.dta - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
      19. \\2008-06-17\\bcqr00021.dta - Trojan-Downloader.Win32.Mutant.acm (DrWEB: BackDoor.Bulknet.206)
      20. \\2008-06-17\\bcqr00022.dta - Trojan.Win32.SubSys.ef (DrWEB: Trojan.Okuks.based)
      21. \\2008-06-17\\bcqr00023.dta - Trojan.Win32.SubSys.ef (DrWEB: Trojan.Okuks.based)


  • Уважаемый(ая) n1l, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Worm.Win32.NetBooster #2
      От Alive в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 08:26
    2. Worm. Win32.NetBooster
      От Razah в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 05:31
    3. Worm.Win32.NetBooster
      От Supermed в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 04:56
    4. Worm.Win32.NetBooster
      От Baben в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 04:56
    5. Worm.Win32.NetBooster
      От max в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 11.06.2008, 20:14

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00372 seconds with 17 queries