-
Junior Member
- Вес репутации
- 59
Рабочий стол Warning! Spyware detected on your computer
После посещения одного из сайтов появилась пробелам как у многих .На рабочем столе надпись на синем фоне появилась надпись Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer. После этого на вкладке свойств рабочего стола пропали закладки "Рабочий стол" и "Заставка". Появляется скринсейвер с имитацией выдачи ошибки в файле *.sys и последующей имитацией перезагрузки.
Последний раз редактировалось PEPPER; 10.07.2008 в 21:18.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Да, уж. Куча зверья, плю остатки Касперского.
До чего довели бедный компьютер.
1.Скачать IceSword.
В нем удалить:
D:\WINDOWS\system32\Drivers\Winxe17.sys
D:\WINDOWS\system32\WinCtrl32.dll
2.Выполнить скрипт:
Код:
begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com','');
DelBHO('{C8A3B994-E27A-42f5-A053-C63799E621FB}');
QuarantineFile('byrone.dll','');
QuarantineFile('K:\Tempor\psyche.exe','');
QuarantineFile('D:\WINDOWS\system32\n7071\sv711600230r.exe','');
QuarantineFile('D:\WINDOWS\system32\mswmsys.dll','');
QuarantineFile('D:\WINDOWS\system32\blphcgdcj0ejj0.scr','');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\Program Files\Internet Explorer\shwdltms.bin','');
QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\dv6160020x\yesbron.com','');
DeleteService('Wej06');
DeleteService('Vci51');
DeleteService('Syf06');
DeleteService('Saf16');
DeleteService('Rye16');
DeleteService('Qwc41');
DeleteService('Mub16');
DeleteService('Mty73');
DeleteService('Msy27');
DeleteService('Agl06');
QuarantineFile('D:\WINDOWS\system32\msdnc1.exe','');
DeleteService('ThemesSSDPSRV');
DeleteService('lich');
DeleteService('FCI');
QuarantineFile('D:\WINDOWS\system32\Drivers\Winxe17.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\beeper.sys','');
QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\WINDOWS\system32\DRIVERS\beeper.sys');
DeleteFile('D:\WINDOWS\system32\Drivers\Winxe17.sys');
DeleteFile('D:\WINDOWS\system32\fci.exe');
DeleteFile('D:\WINDOWS\system32\lich.exe');
DeleteFile('D:\WINDOWS\system32\msdnc1.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Agl06.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Msy27.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Mty73.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Mub16.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Qwc41.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Rye16.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Saf16.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Syf06.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Vci51.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Wej06.sys');
DeleteFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\dv6160020x\yesbron.com');
DeleteFile('D:\Program Files\Internet Explorer\shwdltms.bin');
DeleteFile('D:\WINDOWS\services.exe');
DeleteFile('D:\WINDOWS\system32\blphcgdcj0ejj0.scr');
DeleteFile('D:\WINDOWS\system32\n7071\sv711600230r.exe');
DeleteFile('byrone.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
Загрузить карантин по Красной ссылке.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Все выполнил. Огромное спасибо.
Логи в приложении.
Последний раз редактировалось PEPPER; 10.07.2008 в 21:18.
-
пофиксите
Код:
R3 - URLSearchHook: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\
O20 - Winlogon Notify: WLCtrl32 - D:\WINDOWS\
выполните скрипт...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com','');
QuarantineFile('K:\Tempor\psyche.exe','');
QuarantineFile('D:\WINDOWS\system32\userinit.exe','');
BC_DeleteSvc('Beep');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\beeper.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys','');
BC_DeleteSvc('ThemesSSDPSRV');
QuarantineFile('D:\WINDOWS\system32\msdnc1.exe','');
DeleteFile('D:\WINDOWS\system32\msdnc1.exe');
DeleteFile('D:\WINDOWS\system32\DRIVERS\beeper.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карнтин согласно приложения 3 правил
повторите логи ...
-
-
fci.exe_ - Trojan.Win32.Obfuscated.jin (свежий) - удален.
services.exe_ - Trojan.Win32.Pakes.jrs,
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.all - также удалены.
Что за задание в "Планировщике" знаете?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Пофиксил. Крантин выслал. Логи в приложении.
Нет в планировщике что за зажания не знаю. я туда сам ничего не добавлял.
Последний раз редактировалось PEPPER; 17.07.2008 в 00:33.
-
пофиксите ...
Код:
O21 - SSODL: SysChk - {94A6E551-61BE-490C-86A5-6821E8AD412E} - D:\Program Files\Internet Explorer\shwdltms.bin (file missing)
O21 - SSODL: MSWM - {24B0F496-4150-4D34-B1B6-EE9DD0AA408A} - mswmsys.dll (file missing)
D:\WINDOWS\system32\userinit.exe VirTool:Win32/DelfInject.gen!AM
нужно заменить на чистый из дистрибутива ...
задания в планировщике удалите ...
K:\Tempor\psyche.exe , D:\WINDOWS\system32\kdngu.exe - пришлите согласно приложения 2 правил ...
-
-
Удаление задания в "Планировщике" - Панель управления - Планировщик.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 59
Подскажите пожайлуста, при замене файла из дистрибутива какие команды надо делать в консоли восстановления.
-
expand x:\i386\userinit.ex_ y:\windows\system32\userinit.exe
x - буква CD, y - буква диска с windows xp
-
-
Junior Member
- Вес репутации
- 59
Сколько раз не пытался. при выполнении команды пишет "не удается создать файл". В чем дело.
-
приведите точную строку которую вы вводите ....
-
-
Junior Member
- Вес репутации
- 59
Точная строка.
expand J:\i386\userinit.ex_ D:\windows\system32\userinit.exe
Здесь фото с монитора в этот момент
http://i002.radikal.ru/0807/1a/3fd3462a922c.jpg
В моем компьютере появилась папка "веб-папки". Раньше ее не было.
Еще такая проблема.
Постоянно сбивается авторизация. Захожу на форумы любые логинюсь. как только закрываю страницу при новом заходе приходится заново логиниться. Также в IE возникает часто окно. "На этой странице произошла ошибка сценария".
-
убрать веб папки просто ....
Код:
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
нсчет не распаковывает- странно .... возьмите отсюда распакованый http://slil.ru/25985437
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось PEPPER; 16.07.2008 в 21:59.
-
-
-
Junior Member
- Вес репутации
- 59
Карантин по файлам выслал. файл заменил.
Проблема с ошибками в IE и постоянным сбоем авторизации осталась.
Прикрепляю новые логи.
Последний раз редактировалось PEPPER; 17.07.2008 в 00:33.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\mssrv32.exe','');
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}');
QuarantineFile('D:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com','');
QuarantineFile('D:\WINDOWS\system32\n7071\sv711600230r.exe','');
QuarantineFile('K:\Tempor\psyche.exe','');
QuarantineFile('K:\Tempor\winlogon.exe','');
QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
QuarantineFile('D:\WINDOWS\system32\kdngu.exe','');
QuarantineFile('D:\WINDOWS\iexplorer.exe','');
DeleteFile('D:\WINDOWS\iexplorer.exe');
DeleteFile('D:\WINDOWS\system32\kdngu.exe');
DeleteFile('D:\WINDOWS\system32\ntos.exe');
DeleteFile('D:\WINDOWS\system32\n7071\sv711600230r.exe');
DeleteFile('D:\WINDOWS\Downloaded Program Files\popcaploader.dll');
DeleteFile('D:\WINDOWS\system32\mssrv32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
-
Junior Member
- Вес репутации
- 59
Все выполнил.
Новые логи прикрепляю.
Последний раз редактировалось PEPPER; 02.10.2008 в 20:05.
-
скачайте D:\WINDOWS\system32\drivers\mickey32.sys, D:\WINDOWS\system32\drivers\Wywh63.sys - force delete
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('mickey32');
DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');
QuarantineFile('haskel32.dll','');
QuarantineFile('Wywh63.sys','');
DeleteFile('Wywh63.sys');
BC_DeleteSvc('Wywh63');
DeleteFile('haskel32.dll');
DeleteFile('D:\WINDOWS\system32\drivers\mickey32.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
еще раз справшиваю задания в планировщике ваше ? если нет удалите ....
-