Показано с 1 по 10 из 10.

"Warning! Spyware detected on your computer" на Рабочем столе (заявка № 25741)

  1. #1
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    31

    Question "Warning! Spyware detected on your computer" на Рабочем столе

    Добрый день.
    Есть у меня такая проблема: сразу после загрузки компьютера Рабочий стол становится синего цвета, а по центру появляется табличка, разделённая на две части. В верхней части на жёлтом фоне написано: "Warning! Spyware detected on your computer". Во второй части написано на синем фоне "Install an antivirus or spyware remover to clean your computer".
    Также вылезает системное сообщение "Can't find script file C:\Documents and Settings\NT\Local Settings\Temp\.ttp.tmp.vbs" и в текстовом редакторе открывается файл со скриптом "blphcectj0e53j.scr". При сканировании антивирусом Dr. Web отмечается файл "С:\Windows\system32\Drivers\winou30.sys", заражённый Trojan.Rntm.10.
    Через некоторое время работы компьютер уходит на перезагрузку, после которой возникает синий экран смерти, и указываются различные файлы из папки "С:\Windows\system32\Drivers\"
    После перезагрузки и удаления фала с трояном, всё повторяется, а файл этот находится там же.
    Логи присутствуют.
    Заранее спасибо за ответ.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Скачайте http://virusinfo.info/showthread.php?t=17228 , найдите и удалите через force delete
    Код:
    C:\WINDOWS\System32\Drivers\Winek04.sys
    C:\WINDOWS\System32\Drivers\Winlh27.sys
    C:\WINDOWS\System32\Drivers\Winpr75.sys
    C:\WINDOWS\System32\Drivers\Winpt63.sys
    C:\WINDOWS\system32\WinCtrl32.dll
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\NT\LOCALS~1\Temp\Swvq.exe/r
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winek04');
     DeleteService('Winlh27');
     DeleteService('Winpr75');
     DeleteService('Winpt63');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt63.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpr75.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winlh27.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winek04.sys','');
     QuarantineFile('C:\DOCUME~1\NT\LOCALS~1\Temp\Swvq.exe/r','');
     DeleteFile('C:\DOCUME~1\NT\LOCALS~1\Temp\Swvq.exe/r');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winek04.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlh27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpr75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpt63.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    31
    Спасибо за ответ. Попробую возникшие проблемы изложить по порядку:

    Во-первых, не удалось найти файлы

    Код:
    C:\WINDOWS\System32\Drivers\Winek04.sys
    C:\WINDOWS\System32\Drivers\Winlh27.sys
    C:\WINDOWS\System32\Drivers\Winpr75.sys
    C:\WINDOWS\System32\Drivers\Winpt63.sys
    .

    Только C:\WINDOWS\system32\WinCtrl32.dll оказался на своём месте.

    Далее всё пофиксил, как было сказано, скрипт выполнил, папки очистил. А вот далее начались снова проблемы: для начала у меня не получается нормально выполнить сканирование и создать логи с помощью AVZ — во время выполнения сканирования система уходит на перезагрузку снова и снова. В итоге я после каждой перезагрузки просто снова чистил все папки, выгружал из трея все программы и пытался сделать логи. То, что получилось, я прикрепляю к этому сообщению.
    То же, наверное, и по поводу карантина. Я не совсем понял, какие именно папки нужно архивировать для этого. В итоге заархивировал две папки, которые нашлись в карантине AVZ.
    Симптомы остаются те же. Процесс "lphcectj0e53j.exe" продолжает благополучно висеть в списке Диспечера задач.
    Что мне делать дальше?
    Спасибо.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    найдите и удалите через force delete
    Код:
    C:\WINDOWS\System32\Drivers\Winou30.sys
    Если и не найдете, то переходите к следующему шагу.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [lphcectj0e53j] C:\WINDOWS\system32\lphcectj0e53j.exe
    - хотя по нашим данным это не зловред, а скринсейвер от Sysinternals, но если он Вам мешает, то удалим, конечно.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winou30');
     QuarantineFile('C:\WINDOWS\system32\lphcectj0e53j.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winou30.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winou30.sys');
     DeleteFile('C:\WINDOWS\system32\lphcectj0e53j.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по красной ссылке вверху темы.
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    31
    Значит так
    Файл
    Код:
    C:\WINDOWS\System32\Drivers\Winou30.sys
    найти не удалось. Скринсейвер, похоже, умер наконец-то, по крайней мере экран не синеет и сообщение, о том, что не найден файл скрипта, о котором я писал в первом сообщении, тоже больше не вылезает. Однако осталась эта пресловутая табличка с надписью о найденном вирусе. Где её убрать, пока не могу сообразить. Подскажите пожалуйста.
    Кроме того удалось сделать все сканирования без принудительной перезагрузки со стороны машины, что, надеюсь, говорить хоть в какой-то степени о решении проблемы.
    Логи прилагаются. Карантин также.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Выполните скрипт
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(16);
    end.
    Перегрузитесь и сообщите ушла ли надпись.
    В логах ничего подозрительного.

  8. #7
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    31
    Спасибо большое! Надпись исчезла, пока вроде не перегружался комп. Антивирус молчит. Буду смотреть, что дальше...
    Спасибо...

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от laud Посмотреть сообщение
    Буду смотреть, что дальше...
    дальше нужно как можно скорее установить Сервис Пак 3 (SP3)

  10. #9
    Junior Member Репутация
    Регистрация
    02.07.2008
    Сообщений
    10
    Вес репутации
    31
    Ссылку вижу, но к вечеру уже ничего не соображаю... В данном случае он ставится в виде обновления по Вашей ссылке, да? Которая в подписи...

    З.Ы. Да... Надо мне было бы сначала сходить по ссылке. Вопрос отпал сам собой...

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,550
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\lphcectj0e53j.exe - Trojan.Win32.Pakes.jlu (DrWEB: Trojan.Fakealert.950)


  • Уважаемый(ая) laud, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:19
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 05:59
    3. Ответов: 5
      Последнее сообщение: 22.02.2009, 05:58
    4. Ответов: 3
      Последнее сообщение: 20.08.2008, 09:40
    5. Ответов: 9
      Последнее сообщение: 19.06.2008, 14:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01657 seconds with 21 queries