Здравствуйте, появилась надпись посередине экрана "Warning! Spyware detected on your computer" . Закладка "Рабочий стол" исчезла. Помогите, если не сложно
Здравствуйте, появилась надпись посередине экрана "Warning! Spyware detected on your computer" . Закладка "Рабочий стол" исчезла. Помогите, если не сложно
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
- Выполните скриптКод:F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe, O4 - HKLM\..\Run: [lphc79lj0etb5] C:\WINDOWS\system32\lphc79lj0etb5.exe O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); SetServiceStart('Google Online Services', 4); DeleteService('Google Online Services'); StopService('Google Online Services'); DeleteService('msupdate'); SetServiceStart('msupdate', 4); StopService('msupdate'); TerminateProcessByName('c:\windows\system32\lphc79lj0etb5.exe'); DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}'); QuarantineFile('C:\WINDOWS\system32\blphc79lj0etb5.scr',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\Documents and Settings\xp\ie_updates3r.exe',''); QuarantineFile('msupdate.sys',''); QuarantineFile('Raa15.sys',''); QuarantineFile('C:\WINDOWS\system32\lphc79lj0etb5.exe',''); QuarantineFile('c:\windows\system32\lphc79lj0etb5.exe',''); DeleteFile('c:\windows\system32\lphc79lj0etb5.exe'); DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL'); DeleteFile('C:\WINDOWS\system32\blphc79lj0etb5.scr'); DeleteFile('C:\WINDOWS\system32\lphc79lj0etb5.exe'); DeleteFile('Raa15.sys'); DeleteFile('msupdate.sys'); DeleteFile('C:\Documents and Settings\xp\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; ExecuteRepair(5); ExecuteRepair(11); RebootWindows(true); end.
- Очистите темп-папки и кэш проводников.
-Закачайте карантин по красной ссылке вверху темы
- Скачайте www.malwarebytes.org, обновите базы, просканьте систему, удалите находки. Лог прикрепите к собщению.
-Повторите логи АВЗ и Хайджека.
Спасибо огромное, надпись исчезла. Но я немного накосячил ) , забыл отключить инет, антивир и выкл. восстановление перед тем как фиксил и выполнял скрипт и отослал такой файл в карантин . Потом проделал все тоже самое, но по инструкции правда фиксить было нечего)) в карантин отправил файл virus2, сорри. Прога по ссылке находит 2 инфицированных объекта но до конца не проверяет, виснет, (( соответственно они так и остаются. (( Еще раз спасибо
Попробуйте поискать и прислать по приложениям 2 и 3 правил файл:
Д.б. где-то в папке C:\Windows\...Raa15.sys
AVZ выдает:
Ошибка карантина файла, попытка прямого чтения (Raa15.sys)
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\Raa15.sys )
Карантин с испльзованием прямого чтения - ошибка
Ошибка карантина файла, попытка прямого чтения (C:\Windows\system32\Raa15.sys )
Карантин с использованием прямого чтения - ошибка
А искалка файлов в AVZ тоже ничего не находит?
Я бы загрузился с установочного диска Винды в режиме восстановления системы и из CLI дал команду скопировать этот файл в другой, например Raa15.$y$. Тогда копию уже можно попытаться выслать. Если еще брутальнее, то даже не копировать, а переименовать, или даже удалить сразу.
Правда, есть одно "Но" ...
Если невозможно прямое чтение, значит, кто-то его запрещает на уровне ядра системы. На очень низком уровне. И этот "кто-то" не обязательно указанный файл. Скорее всего, есть еще одна вспомогательная компонента, которая и занимается противодействием удаления основной компоненты. А заодно и себя.
PS. Если нет установочного диска Винды, то можно подготовить загрузочную дискету с поддержкой NTFS например при помощи Avira NTFS4DOS Personal и загрузиться с нее. Даже побыстрее получится.
PSS. Может быть потребуется сначала при помощи команды attrib снять атрибуты RHS, иначе не позволит переименовать.
Последний раз редактировалось Rene-gad; 30.06.2008 в 11:29. Причина: пишется с 2-мя t :)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Повторите логи...Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('Raa15.sys'); DeleteFile('C:\WINDOWS\system32\drivers\Raa15.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Вот сделал:
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
В логах чисто,жалобы есть?
Спасибо огромное, жалоб нет
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\lphc79lj0etb5.exe - Trojan.Win32.Agent.srz (DrWEB: Trojan.Packed.557)
Уважаемый(ая) byg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.