Critical Error! вирус

**klon473** · 18.07.2008, 14:27

Здравствуйте, такая проблема
При переходе по папкам выдается ошибка critical error!
Там говариться что ваш компьтор заражен и необходимо загрузить утилиту. Если согласиться то идет по адресу на какойто сайт h t t p://getieantivirus.com/ie-av.exe (примерно так)
Помогите! пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**kps** · 18.07.2008, 15:06

Сначала пожалуйста зайдите в regedit и сделайте экспорт ветки реестра

Код:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon

Файл экспорта запакуйте в архив и прикрепите к Вашему следующему сообщению.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\drivers\Ubg38.sys','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\sysreqlab2.dll','');
 QuarantineFile('C:\WINDOWS\system32\B606leY5.exe','');
 QuarantineFile('WinNt64.dll','');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrw84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq62.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm51.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk38.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Ubg38.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Oua73.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\nsX40.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\mrW05.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Kqv27.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jqy52.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jaf16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hmr16.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp84.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Fkp38.sys','');
 QuarantineFile('C:\WINDOWS\system32\1054e.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
 QuarantineFile('C:\WINDOWS\system32\TOOLBA~1.DLL','');
 QuarantineFile('C:\WINDOWS\system32\adsndsp.dll','');
 QuarantineFile('c:\documents and settings\Администратор\nivncwg.exe','');
 DeleteFile('c:\documents and settings\Администратор\nivncwg.exe');
 DeleteFile('C:\WINDOWS\system32\adsndsp.dll');
 DeleteFile('C:\WINDOWS\system32\TOOLBA~1.DLL');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fkp38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Fkp84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hmr16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jaf16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jqy52.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Kqv27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\mrW05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\nsX40.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Oua73.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Ubg38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winaf05.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfk38.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winhm51.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlq62.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpv16.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrw84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc51.sys');
 DeleteFile('C:\WINDOWS\System32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\WinNt64.dll');
 DeleteFile('C:\WINDOWS\System32\WinCtrl32.dl_');
 DeleteFile('C:\WINDOWS\System32\WinNt64.dl_');
 DeleteFile('C:\WINDOWS\system32\B606leY5.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\Ubg38.sys');
BC_ImportALL;
ExecuteSysClean;
 DelBHO('19B8572F-894F-41E0-9309-00091B688905');
DelWinlogonNotifyByKeyName('WinNt64');
DelWinlogonNotifyByKeyName('WinCtrl32');
 DeleteService('Winvc51');
 DeleteService('Winrw84');
 DeleteService('Winpv16');
 DeleteService('Winlq62');
 DeleteService('Winhm51');
 DeleteService('Winfk38');
 DeleteService('Winaf05');
 DeleteService('Kqv27');
 DeleteService('Jqy52');
 DeleteService('Jaf16');
 DeleteService('Hmr16');
 DeleteService('Fkp84');
 DeleteService('Fkp38');
 DeleteService('Ubg38');
 DeleteService('tcpsr');
 DeleteService('Oua73');
 DeleteService('nsX40');
 DeleteService('mrW05');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=26698 ).

Удалите все задачи планировщика заданий.
Очистите временные папки и кеш браузера.
Сделайте новые логи.

**klon473** · 18.07.2008, 16:14

Помогло!!! Спасибо!!!

**kps** · 18.07.2008, 17:19

Скопируйте нижеприведенный код в текстовый файл и сохраните с расширением .reg
Запустите его и согласитесь с добавлением в реестр:

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

Выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\1054e.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('DnscacheDnscache');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Вот это Вам знакомо?:

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{95395811-A1A4-4908-A4C3-A41F961606AE}: NameServer = 193.125.32.6 193.125.33.2
O17 - HKLM\System\CCS\Services\Tcpip\..\{F92E70EE-64E4-439C-9BB0-696B0D59EB87}: NameServer = 193.125.32.6,193.125.33.2

Если незнакомо, то пофиксите в HijackThis эти строчки.

Сделайте новые логи.

**klon473** · 18.07.2008, 18:49

017 - Это мне знакомо
Вот

**kps** · 18.07.2008, 21:09

Reg файл запускали?

**klon473** · 18.07.2008, 21:16

да

**kps** · 18.07.2008, 21:21

Попробуйте такой скрипт в AVZ:

Код:

begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Userinit', 'C:\WINDOWS\system32\userinit.exe,');
RebootWindows(false);
end.

Сделайте новые логи, начиная с пункта 10 правил.

**klon473** · 18.07.2008, 21:34

Выслать только virusinfo_syscheck.zip. и hijackthis.log ?

**kps** · 18.07.2008, 21:36

да, новые.

**klon473** · 18.07.2008, 21:43

Область поиска только диск C ?

**kps** · 18.07.2008, 21:45

Какая область поиска? Нужно просто сделать новые логи, начиная с пункта 10 правил. Выполнить стандартный скрипт номер 2 и сделать еще лог hijackthis.

**klon473** · 18.07.2008, 21:46

Вот

**kps** · 18.07.2008, 21:53

Теперь в логах чисто. Только есть нерекомендуемая программа Bonjour. Она находится здесь: c:\program files\bonjour
Ее лучше удалите.
Какие-то проблемы остались?

**klon473** · 18.07.2008, 21:59

Спасибо!!!

**CyberHelper** · 22.02.2009, 06:40

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 74
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\администратор\\nivncwg.exe - Backdoor.Win32.IRCBot.ebn (DrWEB: Trojan.Virtumod.based.1
2. c:\\windows\\system32\\b606ley5.exe - Trojan-Downloader.Win32.Firu.lp (DrWEB: Trojan.Inject.360
3. c:\\windows\\system32\\drivers\\ubg38.sys - Trojan-Downloader.Win32.Mutant.aim
4. c:\\windows\\system32\\toolbarsch.dll - Trojan.Win32.BHO.fbh
5. c:\\windows\\system32\\toolba~1.dll - Trojan.Win32.BHO.fbh
6. c:\\windows\\system32\\winnt64.dll - Trojan-Downloader.Win32.Mutant.aer (DrWEB: Trojan.DownLoader.63655)

Critical Error! вирус (заявка № 26698)

Опции темы

Critical Error! вирус

Итог лечения

Похожие темы

Critical error

Critical error!

Critical Error

Critical Error

Critical Error!

Ваши права в разделе