Показано с 1 по 2 из 2.

Какая-то новая жестокая СМС-зараза, не смог справиться (заявка № 65347)

  1. #1
    Junior Member Репутация
    Регистрация
    28.12.2009
    Сообщений
    1
    Вес репутации
    30

    Exclamation Какая-то новая жестокая СМС-зараза, не смог справиться

    Было окно типа какогото 1 час бесплатного порно, от него по шустрому избавился через far. Лажовая часть.

    Подозрительные файлы, удалил
    на virustotal:
    userlib.dll - никем не опредляется до сих пор
    das475.tmp - Kaspersky 7.0.0.125 2009.12.28 Trojan-Ransom.Win32.PogBlock.oo (опредяется 2 антивирями только)

    Но дальше я застрял.
    Нерешенные мною и avz задачи для исправления:
    Функция NtClose (19) перехвачена (80567A6D->AE2096B, перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtCreateKey (29) перехвачена (80572E9D->AE209574), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtDeleteValueKey (41) перехвачена (80592D50->AE209A52), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtDuplicateObject (44) перехвачена (80573FE9->AE20914C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtEnumerateKey (47) перехвачена (805735A4->F746CCA2), перехватчик splg.sys
    Функция NtEnumerateValueKey (49) перехвачена (80590669->F746D030), перехватчик splg.sys
    Функция NtOpenKey (77) перехвачена (80568EE9->AE20964E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtOpenProcess (7A) перехвачена (805741D0->AE20908C), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtOpenThread (80) перехвачена (8058B58D->AE2090F0), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtQueryKey (A0) перехвачена (805732AD->F746D10, перехватчик splg.sys
    Функция NtQueryValueKey (B1) перехвачена (8056A382->AE20976E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtRestoreKey (CC) перехвачена (8064ED05->AE20972E), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Функция NtSetValueKey (F7) перехвачена (80579A43->AE2098AE), перехватчик C:\WINDOWS\System32\Drivers\aswSP.SYS, драйвер опознан как безопасный
    Проверено функций: 284, перехвачено: 13, восстановлено: 0

    Этот самый splg.sys при каждой загрузке имеет новое имя формата sp??.sys. На диске его не нашел...

    1.5 Проверка обработчиков IRP
    \FileSystem\ntfs[IRP_MJ_CREATE] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_CLOSE] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_WRITE] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_EA] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_EA] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\ntfs[IRP_MJ_PNP] = 86FDA1F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CREATE] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_CLOSE] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_WRITE] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_INFORMATION] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_INFORMATION] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_EA] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_EA] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_QUERY_VOLUME_INFORMATION] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_SET_VOLUME_INFORMATION] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DIRECTORY_CONTROL] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_FILE_SYSTEM_CONTROL] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_DEVICE_CONTROL] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_LOCK_CONTROL] = 865E21F8 -> перехватчик не определен
    \FileSystem\FastFat[IRP_MJ_PNP] = 865E21F8 -> перехватчик не определен


    4. Проверка Winsock Layered Service Provider (SPI/LSP)
    Ошибка LSP Protocol = "UserLib over [MSAFD Tcpip [TCP/IP]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD Tcpip [UDP/IP]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD Tcpip [RAW/IP]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [RSVP UDP Service Provider]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [RSVP TCP Service Provider]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{8AC4904A-5005-4B26-86E0-75BD61F46D9B}] SEQPACKET 0]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{8AC4904A-5005-4B26-86E0-75BD61F46D9B}] DATAGRAM 0]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{A94DA5F8-ABC7-45A6-9BBC-AE00F52367CA}] SEQPACKET 1]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{A94DA5F8-ABC7-45A6-9BBC-AE00F52367CA}] DATAGRAM 1]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{26C25F6E-8A61-47CC-A3F8-72088D4E186A}] SEQPACKET 2]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{26C25F6E-8A61-47CC-A3F8-72088D4E186A}] DATAGRAM 2]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{5BD16968-5066-4A34-9811-DF269FD0B630}] SEQPACKET 3]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{5BD16968-5066-4A34-9811-DF269FD0B630}] DATAGRAM 3]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{27714D61-3ADC-40D0-88BE-2449B2C71CBD}] SEQPACKET 4]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD NetBIOS [\Device\NetBT_Tcpip_{27714D61-3ADC-40D0-88BE-2449B2C71CBD}] DATAGRAM 4]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib over [MSAFD nwlnkipx [IPX]]" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Ошибка LSP Protocol = "UserLib" --> отсутствует файл C:\Documents and Settings\Admin\Cookies\userlib.dll
    Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 17


    После их автоматического исправления винда не грузится, торчит в районе экрана приветствия, декстоп не появляется... Как бы их восстановить?

    Этого компа под рукой нет, инет на нем тоже не работает, подскажите пожалуйста наилучший способ избавиться от этой гадости
    Последний раз редактировалось zhorzh; 28.12.2009 в 20:14.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    28.05.2009
    Сообщений
    3,677
    Вес репутации
    199
    Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\Documents and Settings\Admin\Cookies\userlib.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(14);
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  • Уважаемый(ая) zhorzh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Какая-то зараза
      От glit в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:27
    2. Какая-то зараза
      От fire33 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.10.2008, 21:34
    3. Какая то зараза!
      От Ruslanabk в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.06.2008, 00:10
    4. Какая-то Зараза
      От joniscoolkz в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 19.03.2008, 00:33
    5. не смог справиться с червячком.
      От ПавелВикторович в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.01.2007, 22:32

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00763 seconds with 16 queries