Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 21.

Warning! Potential Spyware Operation! Очень страшно :( Ищу совет мастеров. (заявка № 13373)

  1. #1
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61

    Thumbs up Warning! Potential Spyware Operation! Очень страшно :( Ищу совет мастеров.

    Добрый вечер всем. Вот поймал пару часов назад вирусик. Я думаю он ни единственный на моём компе, но вот чтобы так... Очень не нравится, постоянно сворачивает все процессы и выдаёт сообщение: Warning! Potential Spyware Operation! Your computer is making unauthorised...я думаю вы уже сталкивались с этим вирусом, т.к. нашёл несколько подобных тем. Не могли бы вы помочь пожалуйста? т.к. форматировать жёсткий диск не очень хочется
    П.С. Не имею доступа к свойствам компьютера и панели управления, вирус снёс админские права мне Как это можно вернуть?

    Кстати, в AVZ нашёл эти строчки...очень страшно, есть несколько очень дорогущих паролей в интернете, как можно защитить от этого или может быть всё обойдётся?
    C:\WINDOWS\system32\winscok.dll --> Подозрение на Keylogger или троянскую DLL
    C:\WINDOWS\system32\winscok.dll>>> Поведенческий анализ:
    1. Реагирует на события: клавиатура, мышь, все события
    C:\WINDOWS\system32\winscok.dll>>> Нейросеть: файл с вероятностью 98.61% похож на типовой перехватчик событий клавиатуры/мыши
    Последний раз редактировалось andrelik; 09.11.2010 в 21:29.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ....
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
    O4 - HKLM\..\Run: [SoundMam] C:\WINDOWS\system32\svohost.exe
    O4 - HKLM\..\Run: [IMJPMIG8.2] msime80.exe
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    O4 - HKCU\..\Run: [MsServer] msfir80.exe
    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.e
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=
    O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
    выполните скрипт....
    Код:
    begin
    SetAVZGuardStatus(True);
    SearchRootkit(true, true);
     QuarantineFile('autorun.bat','');
     QuarantineFile('msime80.exe','');
     QuarantineFile('msfir80.exe','');
     QuarantineFile('C:\WINDOWS\system32\printer.exe','');
     QuarantineFile('C:\WINDOWS\system32\svohost.exe','');
     QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
     QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
     QuarantineFile('C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe','');
     QuarantineFile('C:\Documents and Settings\Andelik\Главное меню\Программы\Автозагрузка\system.exe','');
     QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
     QuarantineFile('C:\WINDOWS\system32\winscok.dll','');
     QuarantineFile('c:\windows\system32\winavxx.exe','');
     QuarantineFile('c:\windows\system32\svohost.exe','');
     DeleteFile('c:\windows\system32\svohost.exe');
     DeleteFile('c:\windows\system32\winavxx.exe');
     DeleteFile('C:\WINDOWS\system32\winscok.dll');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Andelik\Главное меню\Программы\Автозагрузка\system.exe');
     DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
     DeleteFile('C:\WINDOWS\system32\svohost.exe');
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('msfir80.exe');
     DeleteFile('msime80.exe');
    BC_ImportAll;
    BC_Activate;
    ExecuteRepair(1);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(16);
    ExecuteRepair(17);
    ExecuteSysClean;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил...
    повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    Я не вижу этих строк. Все есть, кроме этих 2х...

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    честно , я их не выдумал
    выполняйте скрипт ... и повторяйте логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    Do a system scan only >>
    04 - Global Startup: Kaspersky anti-hacker.lnk.....
    04 - Global Startup: Microsoft Office.lnk...
    Это всего 2 строки где упоминается Startup.
    Я просто плохо разбираюсь в этом, но я уже перепроверил эту ветку (HiJackThis) раз 10, нету этих 2х строк там...
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполняйте скрипт ... и повторяйте логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    Извиняюсь за столь поздний ответ, уснул во время сканирования
    Вот логи.
    Заранее спасибо, табличка с запросом на апдейт СпайВер оборудования перестала вылезать и права вернулись
    Последний раз редактировалось andrelik; 09.11.2010 в 21:29.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В карантине пришло:
    C:\autorun.bat - VBS.Igidak
    C:\WINDOWS\system32\printer.exe - Trojan.Fakealert.357
    C:\WINDOWS\system32\sulimo.dat - Trojan.Proxy.1739
    C:\WINDOWS\system32\WinAvXX.exe - Trojan.Fakealert.357
    C:\WINDOWS\system32\winscok.dll - Trojan.DownLoader.14298
    (по классификации DrWeb)

    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    Clearquarantine;
    Clearhostsfile;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\CmdLineExt.dll','');
     QuarantineFile('C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe','');
     QuarantineFile('C:\Program Files\Spyware Process Detector\spydetector.exe','');
     DeleteFile('C:\WINDOWS\system32\sulimo.dat');
     BC_DeleteFile('C:\WINDOWS\system32\sulimo.dat');
    DeleteFile('C:\autorun.inf');
    DeleteFile('E:\autorun.inf');
    DeleteFile('F:\autorun.inf');
    DeleteFile('G:\autorun.inf');
    BC_DeleteFile('C:\autorun.inf');
    BC_DeleteFile('E:\autorun.inf');
    BC_DeleteFile('F:\autorun.inf');
    BC_DeleteFile('G:\autorun.inf');
    DeleteFile('C:\autorun.vbs');
    DeleteFile('E:\autorun.vbs');
    DeleteFile('F:\autorun.vbs');
    DeleteFile('G:\autorun.vbs');
    BC_DeleteFile('C:\autorun.vbs');
    BC_DeleteFile('E:\autorun.vbs');
    BC_DeleteFile('F:\autorun.vbs');
    BC_DeleteFile('G:\autorun.vbs');
    DeleteFile('C:\autorun.bin');
    DeleteFile('E:\autorun.bin');
    DeleteFile('F:\autorun.bin');
    DeleteFile('G:\autorun.bin');
    BC_DeleteFile('C:\autorun.bin');
    BC_DeleteFile('E:\autorun.bin');
    BC_DeleteFile('F:\autorun.bin');
    BC_DeleteFile('G:\autorun.bin');
    DeleteFile('C:\WINDOWS\system32\autorun.inf');
    DeleteFile('C:\WINDOWS\system32\autorun.vbs');
    DeleteFile('C:\WINDOWS\system32\autorun.bin');
    BC_DeleteFile('C:\WINDOWS\system32\autorun.inf');
    BC_DeleteFile('C:\WINDOWS\system32\autorun.vbs');
    BC_DeleteFile('C:\WINDOWS\system32\autorun.bin');
    bc_importquarantinelist;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, если останутся, пофиксите с помощью Hijackthis строчки:
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    O20 - AppInit_DLLs: C:\WINDOWS\system32\sulimo.dat
    , загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=13373 , как написано в прил.3 правил и повторите логи, начиная с п. 10 правил.

  10. #9
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    Всё сделал, через ХайДжек не фиксил после АВЗ. Вроде ничего не нашёл. Вот логи.
    Последний раз редактировалось andrelik; 09.11.2010 в 21:29.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe - Trojan.Fakealert.357 (по классификации DrWeb)
    Пофиксите в Hijackthis строчку
    Код:
    F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    BC_deletefile('C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe');
    DeleteFile('C:\Documents and Settings\Арина\Главное меню\Программы\Автозагрузка\system.exe');
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    SetServiceStart('SSDPSRV', 4);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    . Система будет перезагружена. В дополнение, все-же, проверьте систему Cureit! , загрузившись в безопасном режиме. ВНИМАНИЕ! Программа Cureit! при запуске проводит экспресс-проверку системы, по окончании которой вы САМИ должны выбрать пункт "Полная проверка" и нажать кнопку "Начать проверку" И еще: вы сами ставили вот эту штуку: Spyware Process Detector?
    Последний раз редактировалось Numb; 20.10.2007 в 15:26.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    VBS.Igidak
    После удаления этого таракана скорее всего станет актуальной такая информация:
    http://virusinfo.info/showthread.php?t=8877
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    ТТ...да, ставил вроде я, после выведения сообщения, но Анти-Хакер не дал скачать...
    И ещё, сообщение снова начало появляться
    Может быть следует удалить всех других пользователей кроме меня?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Вы невнимательно читаете наши сообщения. Два последних сообщения (мое и Bratez-а) прочтите еще раз и выполните то, что там рекомендовали.

  15. #14
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    Всё сделал как написали, но Warning! Potential Spyware Operation так и появляется, и права снова закрыли
    Spyware Process Detector? - если это то, на что ссылался сам вирус в начале, да, я начал закачку, но Анти-Хакер закачать не дал.
    Что мне сделать (опять) чтоб получить права и убить эту надпись?
    Последний раз редактировалось andrelik; 09.11.2010 в 21:29.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Давайте снова, внимательно и по порядку.

    1. Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
    O4 - HKLM\..\Run: [NI.UGA6P_0001_N119M1510] "C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe"
    O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    O4 - HKCU\..\Run: [spyprodetector] C:\Program Files\Spyware Process Detector\spydetector.exe TRAY
    O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
    O4 - Startup: system.exe
    O4 - Global Startup: autorun.exe
    2. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\printer.exe');
     DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
     DeleteFile('C:\Documents and Settings\Andelik\Главное меню\Программы\Автозагрузка\system.exe');
     DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
     DeleteFile('Explorer.exe C:\WINDOWS\system32\printer.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(13);
    BC_Activate;
    RebootWindows(true);
    end.
    3. Пришлите по правилам файлы:
    C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe
    C:\Program Files\Spyware Process Detector\spydetector.exe

    4. Опять autorun.inf у вас на дисках E, F, G.
    Выполните еще раз эту процедуру:
    http://virusinfo.info/showthread.php?t=8877
    I am not young enough to know everything...

  17. #16
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    Всё сделал как вы и просилил, НО:
    3. Пришлите по правилам файлы:
    C:\Documents and Settings\Andelik\Рабочий стол\install_en.exe
    C:\Program Files\Spyware Process Detector\spydetector.exe
    Нету их на компе. Искал по правилам - 0, искал через проводник, просто по компу, через поиск - 0...нету...

    Вот логи.
    П.С. Всё забываю спросить. Я проверял систему Кьюритом старой версии, апдейт посылает на фтпшник, но он уже 2ой день лежит
    Последний раз редактировалось andrelik; 09.11.2010 в 21:29.

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Что ж, "на нэт и суда нэт"
    В логах чисто. Осталось только поправить вот это:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> разрешена потенциально опасная служба TermService (Службы терминалов)
    >> разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
    >>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
    Скажите, что нужно / не нужно, скрипт напишем.
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    Хм...в принципе, не андерстенд ничего ^^
    Компом пользуюсь в основном для универа, игры в инете :p, распечатки и по другим мелочам. Расписания, Службы терминалов o.O - явно не для меня т.к. я вроде даже не совсем понимаю что енто..
    Часто подключаю свой САТАшный хард через Сата рейд, так что административный доступ к дискам наверное нужен (если это оно и есть).
    Доступ анонимного пользователя - а зачем ему сюда лезть? У мну 3 пользователя зареганых, пусть тока они и ходят. Сестра, Отец и я.
    IFRAME - понятия не имею для чего это...
    АктивИкс - он нужен, есть несколько сайтов которые не дают работать с собой без установки оного...

  20. #19
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    почитайте ... Службы Windows XP
    как я понимаю, закрываем все ....
    запретить автоматические запросы элементов управления ActiveX очень вредная штука ... советую убрать ... и вообще лучше использовать оперу или огненного лиса...
    Код:
    begin
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    SetServiceStart('Schedule', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  21. #20
    Junior Member Репутация
    Регистрация
    19.10.2007
    Сообщений
    44
    Вес репутации
    61
    Огромнейшее спасибо вам /bow /kneel
    Спасибо что помогли вылечить мой бедный компутер

  • Уважаемый(ая) andrelik, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Warning! Potential Spyware Operation! - 3й день
      От aas202 в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 03:03
    2. Warning! Potential Spyware Operation
      От bobt в разделе Помогите!
      Ответов: 21
      Последнее сообщение: 22.02.2009, 02:42
    3. warning!Potential Spyware Operation!
      От svmarcha в разделе Помогите!
      Ответов: 14
      Последнее сообщение: 22.02.2009, 02:42
    4. Warning! Potential Spyware Operation!2
      От vve в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 11.10.2007, 09:46
    5. Warning! Potential Spyware Operation!
      От vve в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 08.10.2007, 03:28

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00310 seconds with 19 queries