после ремонта компа периодически выскакивает окно с надписью Windows Security Alert "Warning! Potential Spyware Operation!" Dr Web не показывает ни одного вируса
после ремонта компа периодически выскакивает окно с надписью Windows Security Alert "Warning! Potential Spyware Operation!" Dr Web не показывает ни одного вируса
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('hal.exe',''); QuarantineFile('Explorer.exe C:\WINDOWS\system32\printer.exe',''); QuarantineFile('C:\WINDOWS\system32\sulimo.dat',''); QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe',''); QuarantineFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\system.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); QuarantineFile('\SystemRoot\System32\Drivers\FMTR.sys',''); QuarantineFile('\SystemRoot\system32\SetupNT.sys',''); DeleteFile('c:\windows\system32\printer.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\WINDOWS\system32\WinAvXX.exe'); DeleteFile('C:\WINDOWS\system32\sulimo.dat'); BC_ImportALL; ClearHostsFile; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
2.Выслать карантин согласно приложению 3 правил
и еще один скрипт...
Код:begin ExecuteRepair(1); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(16); RebootWindows(true); end.
Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта http://download.drweb.com/win и установите.
Спасибо. Один день работало нормально, но после выключения компа это окошко снова появилось! А вирусов по прежнему нет
А Вы повторите логи
Вот
Пофиксите в HijackThis:
Не перезагружаясь после этого, выполните скрипт в AVZ:Код:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe O4 - HKLM\..\Run: [HAL] hal.exe O4 - HKLM\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\COMMON~1\AVSYST~1\ugcw.exe" -start O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe O4 - HKLM\..\RunServices: [HAL] hal.exe O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe O4 - Startup: system.exe O4 - Global Startup: autorun.exe
После перезагрузки обновите базы AVZ и сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\Program Files\Common Files\AVSystemCare\bm.exe'); DeleteFile('C:\PROGRA~1\COMMON~1\AVSYST~1\ugcw.exe'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\Program Files\AVSystemCare\pgs.exe'); DeleteFile('C:\WINDOWS\system32\WinAvXX.exe'); DeleteFile('C:\WINDOWS\system32\printer.exe'); DeleteFile('hal.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(13); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Спасибо! Вроде пока все в норме. Вот логи
Все чисто.
Удалите папки:
C:\Program Files\Common Files\AVSystemCare
C:\Program Files\AVSystemCare
Посмотрите, что из этого не нужно - отключим:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Все повторяется... Я выполняю скрипты, день работает нормально, я его выключаю, а с утра все повторяется.
1. Пофиксите:
2. Не перезагружаясь выполните скрипт:F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O23 - Service: Abcpi0rpdlter - - (no file)
Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\system32\printer.exe'); DeleteFile('c:\documents and settings\Оля_2\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('C:\WINDOWS\system32\WinAvXX.exe'); BC_ImportDeletedList; ExecuteRepair(5); ExecuteRepair(8); ExecuteRepair(13); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Восстановление системы: включено .... отключите ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - Trojan.Win32.Qhost.po (DrWEB: Trojan.Fakealert.357)
- c:\\documents and settings\\оля\\главное меню\\программы\\автозагрузка\\system.exe - Trojan.Win32.Qhost.po (DrWEB: Trojan.Fakealert.357)
- c:\\windows\\system32\\drivers\\fmtr.sys - not-a-virus:FraudTool.Win32.BestSeller.a (DrWEB: Program.Winfixer)
- c:\\windows\\system32\\winavxx.exe - Trojan.Win32.Qhost.po (DrWEB: Trojan.Fakealert.357)
Уважаемый(ая) Samerika, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.