Показано с 1 по 11 из 11.

проблема - "Warning! Spyware detected on your computer!" (заявка № 25924)

  1. #1
    Junior Member Репутация
    Регистрация
    04.07.2008
    Сообщений
    20
    Вес репутации
    31

    Thumbs up проблема - "Warning! Spyware detected on your computer!"

    Началось все как описано у большинства: Avast нашел червя, началась перезагрузка компа - синий рабочий стол с желтой надписью. Avast и AdWare находят червей и прдупреждают, что заражена оперативная память, в связи с чем предлагают перезагрузиться в DOS. Перезагрузившись в DOS, якобы что-то находят и удаляют. Но при загрузке Windows опять та же история. Сколько ни чистил реестр вручную (хотя и не специалист, но до этого случая удавалось), на этот раз - бесполезно. Специальино скачал DrWeb - он тоже много чего якобы нашел и удалил. Затем выполнил все инструкции на вашем сайте. Но как только подключился к интернету и начал набирать этот текст - тут же начали засыпать предупреждения Avast о том, что предпринимается попытка разослать много идентичных писем - предупреждения валят градом, пока не отключишься от интернета. Вот даже не знаю, успею ли при повторном подключении прикрепить нужные файлы и запостить. .... В общем , окна валят градом, рикрепить файлы. Помогите пожалуйста, иначе просто не знаю, что делать
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    04.07.2008
    Сообщений
    20
    Вес репутации
    31
    Вот что происходит
    Изображения Изображения

  4. #3
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    На время выполнения отключите интернет и антивирус.

    Пофиксите в HijackThis:
    Код:
    R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\MASTER\Application Data\Mra\Update\mrasearch.dll (file missing)
    O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
    O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    O4 - HKLM\..\Run: [ASocksrv] SocksA.exe
    O4 - HKLM\..\Run: [advap32] C:\DOCUME~1\MASTER\LOCALS~1\Temp\WMxB.exe/r
    O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
    O20 - AppInit_DLLs:  wuapsecu.dll e1.dll
    O20 - Winlogon Notify: inetzlco - C:\WINDOWS\system32\inetzlco.dll (file missing)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    O21 - SSODL: apdqnxp - {61EDFCF2-5F1F-4642-872D-764C9AB335C2} - C:\WINDOWS\apdqnxp.dll
    O21 - SSODL: btrklfr - {961583A2-E85F-41FB-9FDA-58256F76516F} - C:\WINDOWS\btrklfr.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
     QuarantineFile('wuapsecu.dll','');
     QuarantineFile('e1.dll','');
     QuarantineFile('SocksA.exe','');
     QuarantineFile('C:\WINDOWS\system32\inetzlco.dll','');
     QuarantineFile('C:\WINDOWS\system32\blphcnk2j0ec0t.scr','');
     QuarantineFile('C:\WINDOWS\btrklfr.dll','');
     QuarantineFile('C:\DOCUME~1\MASTER\LOCALS~1\Temp\WMxB.exe/r','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winqv48.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\apdqnxp.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Winqv48.sys');
     DeleteFile('C:\DOCUME~1\MASTER\LOCALS~1\Temp\WMxB.exe/r');
     DeleteFile('C:\WINDOWS\apdqnxp.dll');
     DeleteFile('C:\WINDOWS\btrklfr.dll');
     DeleteFile('C:\WINDOWS\system32\blphcnk2j0ec0t.scr');
     DeleteFile('C:\WINDOWS\system32\inetzlco.dll');
     DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('Winqv48');
     BC_DeleteSvc('WebClientNetDDEdsdm');
     BC_DeleteSvc('SENSdmadmin');
     BC_DeleteSvc('RSVPPlugPlay');
     BC_DeleteSvc('NtmsSvcNetman');
     BC_DeleteSvc('matlabserverBITS');
    BC_Activate;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=25924).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  5. #4
    Junior Member Репутация
    Регистрация
    04.07.2008
    Сообщений
    20
    Вес репутации
    31
    Все сделал, как написано в инструкции - посмотрите пожалуйста ещё раз
    Результат загрузки

    Файл сохранён как080705_032620_virus_486f302cda211.zipРазмер файла207982MD50ddf5170e453a85047bcded052ce9cbcФайл закачан, спасибо!
    Вложения Вложения
    Последний раз редактировалось werlon; 21.04.2009 в 23:40.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB}');
     QuarantineFile('F:\Program Files\FreeClip\FreeClip.exe','');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winpu26.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winmr48.sys','');
     DeleteService('Winpu26');
     DeleteService('Winmr48');
     QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\Winmr48.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winpu26.sys');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25924

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Сделайте новые логи, начиная с п.10 правил.
    The worst foe lies within the self...

  7. #6
    Junior Member Репутация
    Регистрация
    04.07.2008
    Сообщений
    20
    Вес репутации
    31
    Опять все сделал -высылаю

    Скажите, на моем компьютере всё очень в запущенном состоянии что ли ?
    Последний раз редактировалось werlon; 21.04.2009 в 23:40.

  8. #7
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Было - весьма в запущеном. Теперь, нашими общими усилиями почти порядок
    Выполните еще такой скрипт:
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
    RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
    BC_DeleteSvc('stisvcSamSs');
    BC_DeleteSvc('PolicyAgentDhcp');
    BC_Activate;
    RebootWindows(true);
    end.
    и повторите лог syscheck (п.10 правил).

    Какие-то проблемы наблюдаются?
    I am not young enough to know everything...

  9. #8
    Junior Member Репутация
    Регистрация
    04.07.2008
    Сообщений
    20
    Вес репутации
    31
    Сделал, как сказали.
    Что касается проблем, то рабочий стол восстановился ещё во время первой итерации, хотя как я писал, вирус при выходе в интернет тогда ещё буйствовал.
    Сегодня пока вроде все спокойно, но я не провоцировал: в интернет выхожу на 2 минуты, только чтоб запоститься здесь. Боюсь лишнюю минуту задерживаться в сети, потому что не знаю, что именно провоцирует червь начинать рассылки: может он в определенное время начинает это делать или при каких-то других условиях. А у нас так получается, что у провайдера автоматически срабатывает отключение пользователя от сети, если ПО обнаруживает вирусные рассылки. Потом такая морока заново подключиться .... Вот я и жду, когда вы скажете, что точно ничего нет и можно спокойно работать.

    Подскажите пожалуйста, нужно ли что-то ещё делать и можете ли вы в принципе установить причину всего безобразия, которое у меня на компе происходило. Есть жуткое подозрение, что это случилось с установкой и запуском новой версии ICQ + брат в мое отсутствие говорит, что в ICQ инсталлировал что-то связанное с играми. Вот после этого глюки все и начались. ICQ виновата или не факт ?
    Последний раз редактировалось werlon; 21.04.2009 в 23:40.

  10. #9
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Теперь все чисто.

    ICQ сама по себе точно не виновата.
    Обновляйте антивирус почаще и не открывайте в интернете что попало
    I am not young enough to know everything...

  11. #10
    Junior Member Репутация
    Регистрация
    04.07.2008
    Сообщений
    20
    Вес репутации
    31
    Уважаемые специалисты форума. ОГРОМНОЕ ВСЕМ СПАСИБО за помощь !!!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 55
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\apdqnxp.dll - Trojan.Win32.Vapsup.hud (DrWEB: Trojan.Fakealert.1785)
      2. c:\\windows\\system32\\drivers\\winmr48.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      3. c:\\windows\\system32\\drivers\\winpu26.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      4. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.akf (DrWEB: Trojan.Rntm.7)


  • Уважаемый(ая) werlon, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 8
      Последнее сообщение: 22.02.2009, 06:20
    2. Та же проблема - "Warning! Spyware detected on your computer!"
      От poter06 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:20
    3. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:19
    4. проблема - "Warning! Spyware detected on your computer!"
      От ned в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 08.07.2008, 13:59
    5. Ответов: 1
      Последнее сообщение: 03.07.2008, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01207 seconds with 22 queries