Мой "Spywere detected on your computer". 2.0

**9073** · 26.06.2008, 15:07

Здравствуйте.

Вот и у меня "Spywere detected on your computer". Антивируса небыло.

Касперским 7.0 - всё просканировал в безопасном режиме. Но периодически ловит заразу в system32.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Rene-gad** · 26.06.2008, 15:42

Отключите
- ПК от интернета/локалки
- Антивирус и Файрволл
- Системное восстановление
Пофиксите

Код:

O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
O4 - HKLM\..\Run: [Hhjg5jfd93dftdf] C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe
O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdvyx.exe] C:\WINDOWS\system32\kdvyx.exe
O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe
O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\U\LOCALS~1\Temp\csrssc.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{52D5ECE6-ED87-4A01-A231-D939780748D5}: NameServer = 85.255.116.131,85.255.112.112
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.131 85.255.112.112
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.131 85.255.112.112
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.131 85.255.112.112
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)

Читайте и качайте тут, найдите и удалите через force delete

Код:

C:\WINDOWS\System32\Drivers\Winek05.sys

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winek05');
 DeleteService('tcpsr');
 DeleteService('Jpu41');
 DeleteService('Gmr27');
 DeleteService('Google Online Services');
 DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
 DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}');
 DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}');
 QuarantineFile('C:\WINDOWS\system32\kdvyx.exe','');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe','');
 QuarantineFile('C:\DOCUME~1\U\LOCALS~1\Temp\csrssc.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winek05.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu41.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr27.sys','');
 QuarantineFile('C:\Documents and Settings\U\ie_updates3r.exe','');
 DeleteFile('C:\Documents and Settings\U\ie_updates3r.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Gmr27.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Jpu41.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek05.sys');
 DeleteFile('C:\DOCUME~1\U\LOCALS~1\Temp\csrssc.exe');
 DeleteFile('C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\WINDOWS\system32\kdvyx.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки очистите кэш проводника и темп-папки, закачайте карантин и повторите логи.

**9073** · 27.06.2008, 22:50

А как "пофиксить" ? Никогда не "фиксил".

**Alex Plutoff** · 27.06.2008, 23:01

Сообщение от 9073

А как "пофиксить" ? Никогда не "фиксил".

Что значит "пофиксить с помощью HijackThis"?

**9073** · 27.06.2008, 23:11

> и сохранить её на диске в специальной, но ни в коем случае не темп-папке.

Что подразумевается по "специальной" папкой? Меня это в заблуждение ввело.

**Alex Plutoff** · 28.06.2008, 01:57

Сообщение от 9073

> и сохранить её на диске в специальной, но ни в коем случае не темп-папке.

Что подразумевается по "специальной" папкой? Меня это в заблуждение ввело.

-а то и значит, что сохранять нужно в папке специально созданной пользователем(то есть, Вами) для HijackThis, например, C:\HiJack ...двойной клик по Мой компьютер на Рабочем столе, двойной клик по Локальный диск(С: ), правый клик на свободном месте, Создать Папку, ну, и переименовываете Новая папка на HiJack
-теперь понятно, "что подразумевается"?..

**9073** · 28.06.2008, 16:48

1. Да, теперь ясно.

2. Папка Quarantine содержит пустую папку с датой - высылать не стал.

3. C:\WINDOWS\System32\Drivers\Winek05.sys - не найден!

4. Брандмауэр отключен и не включается - не активны элементы в окне брандмауэра. (это после заражения так стало)

**9073** · 30.06.2008, 21:48

Посмотрите мои логи.

И можно ли вылечить брандмауэр Windows? Таким он стал после заражения. Windows Home Edition - а тут групповые политики откуда-то вылезли.

**Rene-gad** · 30.06.2008, 23:16

Сообщение от 9073

Посмотрите мои логи.

Ничего подозрительного.

Сообщение от 9073

И можно ли вылечить брандмауэр Windows?

Зайдите на карточку Дополнительно (см. Ваш скриншот) и нажмите самую нижнюю кнопку Воостановить параметры по умолчанию (за точность перевода не ручаюсь).
Алтернативно: Пуск/Выполнить... набрать NETSH FIREWALL RESET + клавиша ВВОД.

**9073** · 01.07.2008, 17:49

Сообщение от Rene-gad

Ничего подозрительного.

Зайдите на карточку Дополнительно (см. Ваш скриншот) и нажмите самую нижнюю кнопку Воостановить параметры по умолчанию (за точность перевода не ручаюсь).
Алтернативно: Пуск/Выполнить... набрать NETSH FIREWALL RESET + клавиша ВВОД.

Выполнил - NETSH FIREWALL RESET - ОК.
Но ситуация по прежнему как на скриншоте. Яндекс+Рамблер+Гугле+МСН+Яху - незнают ответа.

. Попробую написать в forums.microsoft.com/technet-ru/ - если найду решение - напишу сюда.

Спасибо всем за содействие и лечение.

**PavelA** · 01.07.2008, 18:03

Почитай вот здесь:

http://support.microsoft.com/kb/825826/ru

После установки пакета обновления 2 (SP2) для Windows XP не удается запустить службу брандмауэра Windows. В частности, могут возникать следующие неполадки:
•пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) не отображается в списке Службы панели управления;
•пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) отображается в списке Службы, но не удается запустить службу;
•при попытке доступа к параметрам брандмауэра Windows выводится следующее сообщение об ошибке:
"Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows."

решение проблемы тут http://support.microsoft.com/kb/920074/ru

**9073** · 01.07.2008, 19:28

Павел, у меня ОЕМ Windows XP Home Edition SP2, информация в данных статьях не относится к моему продукту. Там для Windows XP Professional. Я всё что там было прочитал, но не более.

Проблема актуальна.

**9073** · 03.07.2008, 11:49

Даже на technet-ru тишина.

Но проблему решил восстановив первоначальное состояние ОС из папки Repair. И заработал мой брандмауэр любименький.

Мой "Spywere detected on your computer". 2.0 (заявка № 25374)

Опции темы

Мой "Spywere detected on your computer". 2.0

Похожие темы

Синий экран и сообщение "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer"

На рабочем столе надпись: "Warning! Spywere detected on your computer"

Синий фон рабочего стола и надпись "Warning! Spyware detected your computer! Install an antivirus or spyware remover to clean your computer."

"Warning! Spywere detected on your computer"

Мой "Warning! Spywere detected on your computer"

Ваши права в разделе