Показано с 1 по 18 из 18.

Как избавится от сообщения "Warning!Your System is infected! (заявка № 51852)

  1. #1
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55

    Exclamation Как избавится от сообщения "Warning!Your System is infected!

    Как избавится от сообщения "Warning!Your System is infected!"
    Здравствуйте, внизу в правом углу панели инструментов появился кружочок с крестиком и постоянно выбивал информацию о вирусе и о возможности приобретения платного антивируса, удалось удалить папку с этой прогой, но как результат- синий екран с черным прямоугольником с текстом "Your System is infected!" и предупреждениями.
    Помогите пожалуйста.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    01.06.2007
    Сообщений
    3,112
    Вес репутации
    293
    Здравствуйте.
    Пофиксите в Hijackthis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
    O20 - Winlogon Notify: crypt - C:\WINDOWS\
    O20 - Winlogon Notify: rewzpo - C:\WINDOWS\
    Обновите базы AVZ. Отключите компьютер от интернета, а также антивирус и/или файрвол.
    Закройте все программы, запустите только AVZ и Internet Explorer.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\avast!antivirus.exe');
     QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Документы\Stardock\WindowBlinds\WBInstall32.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\WTSRV.EXE','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\NDIS.sys','');
     QuarantineFile('c:\windows\system32\avast!antivirus.exe','');
     SetServiceStart('avast!Antivirus', 4);
     DeleteService('avast!Antivirus');
     DeleteFile('c:\windows\system32\avast!antivirus.exe');
     DeleteFile('C:\WINDOWS\system32\sdra64.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('avast!Antivirus');
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!!!
    Пришлите карантин по ссылке согласно правил Прислать запрошенный карантин вверху темы. Очистите временные папки интернета.
    Сделайте новые логи по правилам.
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A8328420-90D0-4C47-8648-E502D40CACE7}: NameServer = 82.207.66.241 82.207.66.242
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DEDCBF84-554D-4D24-B17A-1CAA9A07A9AC}: NameServer = 192.158.1.29
    Айпишники Ваши?

  4. #3
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55
    Простите что так поздно отвечаю, был на работе.
    выполнил все ваши вышеуказанные шаги- синий екран пока не исчез(((
    насчет айпишников вопрос не понял, у меня один компьютер дома и интернет, там айпи меняется вроде.
    карантин отправил в архиве с паролем virus
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    C:\WINDOWS\system32\Drivers\NDIS.sys - Virus.Win32.Protector.b
    Нужно заменить файл: http://virusinfo.info/showthread.php?t=51654

    192.158.1.29

    OrgName: Veterans Administration-VA Medical Center
    OrgID: VAMC
    Address: 3801 Miranda Avenue
    City: Palo Alto
    StateProv: CA
    PostalCode: 94304
    Country: US
    NetRange: 192.158.1.0 - 192.158.1.255
    CIDR: 192.158.1.0/24
    NetName: VAMCPALOALT1
    NetHandle: NET-192-158-1-0-1
    Parent: NET-192-0-0-0-0
    NetType: Direct Assignment
    NameServer: NS1.BARRNET.NET
    Comment:
    RegDate: 1992-04-20
    Updated: 1993-09-22
    RTechHandle: DR29-ARIN
    RTechName: Robinson Dean
    RTechPhone: 1-415-858-3971
    RTechEmail: [email protected]
    82.207.66.242

    inetnum: 82.207.64.0 - 82.207.67.255
    netname: UKRTELNET
    descr: Ukrtelecom IP access network in Kiev
    descr: NCC2006091478 Approved IP assignment
    country: ua
    remarks: E-mail for SPAM and abuse [email protected]

    admin-c: ARM42-RIPE
    tech-c: ARM42-RIPE
    status: ASSIGNED PA
    mnt-by: AS6849-MNT
    source: RIPE Filtered
    person: Remiga Alexander
    address: JSC UKRTELECOM
    address: 18 Shevchenko blvd
    address: Ukraine Kiev
    phone: 380 (44) 230-9024
    nic-hdl: ARM42-RIPE
    mnt-by: AS6849-MNT
    source: RIPE Filtered
    route: 82.207.0.0/17
    descr: AGGREGATE BLOCK FOR UKRTELECOM
    origin: AS6849
    mnt-by: AS6849-MNT
    source: RIPE Filtered
    Я не думаю, что выше приведенные адреса говорят Вам что-нибудь.

    -Пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{A8328420-90D0-4C47-8648-E502D40CACE7}: NameServer = 82.207.66.242 82.207.66.249
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DEDCBF84-554D-4D24-B17A-1CAA9A07A9AC}: NameServer = 192.158.1.29
    Вы не первый владелец ПК? Если я прав, то Вам лучше всего, переустановить систему полностью.
    Последний раз редактировалось Rene-gad; 13.08.2009 в 10:56.

  6. #5
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55
    подскажите пожалуйста где достать этот файл, таких папок у меня не существует на компьютере(((
    %systemroot%\system32\dllcache или %systemroot%\ServicePackFiles\i386.

    Добавлено через 44 минуты

    первый владелец. правда при покупке были проблеммы, на ноут установили сервис пак 3 и некоторые программы для моей работы (3дмакс например) не запускались, я отдал ноут и мне поставили сервис пак 2, проблемм потом не было...

    насчет айпишников- 82.207.66.242
    inetnum: 82.207.64.0 - 82.207.67.255
    netname: UKRTELNET
    это как бы ближе, мой провайдер

    профиксил, что пореккомендуете теперь делать?
    Последний раз редактировалось архитектор; 13.08.2009 в 11:44. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от архитектор Посмотреть сообщение
    подскажите пожалуйста где достать этот файл, таких папок у меня не существует на компьютере
    Прочитайте внимательно статью , в особенности написанное мелким шрифтом
    После замены файла сделайте новые логи по п.1 - 3 правил.

  8. #7
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Добавлю

    В этой папки
    Код:
    %systemroot%\system32\dllcache
    данный зловред тоже подменяет файл. Так что из нее не стоит заменять
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  9. #8
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55
    я нашел такой же файл с таким же названием в другом месте в системе, а именно в
    C:\WINDOWS\SoftwareDistribution\Download\eced8b5ea 8e636fb8bff2b719fa62647 - ndis.sys
    могу лия его использывать для замены и как осуществить замену?
    простите что я полный чайник в этом(

    Добавлено через 2 минуты

    хм, пробился в папку C:\WINDOWS\system32\dllcache
    нашел файл, но как заменить не пойму( простым копированием не получается(
    Последний раз редактировалось архитектор; 14.08.2009 в 00:14. Причина: Добавлено

  10. #9
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    99,211
    Вес репутации
    3104
    Цитата Сообщение от архитектор Посмотреть сообщение
    хм, пробился в папку C:\WINDOWS\system32\dllcache
    нашел файл, но как заменить не пойму( простым копированием не получается(
    Прочтите внимательно сообщение №7
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  11. #10
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55
    понял, заменять не стоит, а что тогда делать?..(
    помогите одолеть этот вирус(

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от архитектор Посмотреть сообщение
    помогите одолеть этот вирус(
    Нужно заменить файл с дистрибутива или с аналогичной системы. Вы статью по ссылке внимательно прочитали?

  13. #12
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55
    прочитал внимательно...но не знаю где найти аналогическую систему и не понимаю что такое дистрибутив((( когда пробовал копированием заменить файл, выбила ошибка, что файл занят другим приложением(

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от архитектор Посмотреть сообщение
    не понимаю что такое дистрибутив
    что такое дистрибутив

    Добавлено через 41 секунду

    Цитата Сообщение от архитектор Посмотреть сообщение
    не знаю где найти аналогическую систему
    У соседей, друзей, коллег и т.д.
    Последний раз редактировалось Rene-gad; 14.08.2009 в 18:59. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55
    все, серьезно взялся за решение этой проблеммы!
    вопрос- как узнать что у друзей или коллег такая же ОС и тот же сервис пак? можно ли это какнить прописать или вычислить?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от архитектор Посмотреть сообщение
    как узнать что у друзей или коллег такая же ОС и тот же сервис пак?
    Правой кнопкой мыши замаркировать Мой Компьютер/Свойства

  17. #16
    Junior Member Репутация
    Регистрация
    10.06.2009
    Сообщений
    9
    Вес репутации
    55
    файл ndis.sys достал с работы с незараженного компа, теперь обьясните пожалуйста как запустить консоль восстановления или же как получить загрузочный диск для запуска этой панели? потому что в безопасном режиме выбивает что файл занят другим приложением при попытке замены(

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от архитектор Посмотреть сообщение
    теперь обьясните пожалуйста как запустить консоль восстановления
    там в статье, на которую Вам ссылку дали, абсолютно все написано, а что не написано (по причине соблюдения авторских прав) - даны ссылки на оригинальные статьи. Вы только читайте, плиз.

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 31
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\windows\system32\drivers\ndis.sys - Virus.Win32.Protector.b ( DrWEB: Trojan.NtRootKit.2912, BitDefender: Rootkit.19224, NOD32: Win32/Protector.C virus, AVAST4: Win32:Cutwail-J )


  • Уважаемый(ая) архитектор, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Вирус "YOUR SYSTEM IS INFECTED!"
      От uvon в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.02.2010, 09:14
    2. "Your system is infected" и "Click here to protect..."
      От Oblom в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.08.2009, 16:53
    3. Ответов: 10
      Последнее сообщение: 27.07.2009, 22:14
    4. Сообщение : "Your system is infected with dangerous virus!"
      От Денис в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 05:39
    5. Your system is infected with dangerous virus!"
      От kzenz в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 09.06.2008, 12:02

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00551 seconds with 20 queries