Внимание! Вирус.
На рабочем столе появилась цветная надпись: Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer. При запуске любого приложения вылетает Отчет для Microsoft, при нажатии кнопки "не отправлять отчет" приложение закрывается. При запуске безопасного режима система перезагружается.
Последний раз редактировалось dendo; 01.12.2008 в 13:00.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\windows\system32\ntos.exe',''); QuarantineFile('C:\windows\msserv.exe',''); QuarantineFile('C:\windows\iexplorer.exe',''); QuarantineFile('C:\windows\TEMP\winlagon.exe',''); QuarantineFile('C:\windows\TEMP\csrssc.exe',''); QuarantineFile('C:\WINDOWS\system32\userinit.exe',''); QuarantineFile('C:\WINDOWS\system32\blphc3lbj0e1ba.scr',''); BC_DeleteSvc('Google Online Services'); QuarantineFile('Ycoe28.sys',''); BC_DeleteSvc('Ycoe28'); QuarantineFile('C:\windows\twain_8.dll',''); QuarantineFile('C:\windows\system32\hdxjd4g.dll',''); QuarantineFile('C:\windows\system32\djki397g.dll',''); QuarantineFile('c:\windows\winlogon.exe',''); QuarantineFile('c:\windows\system32\com\smss.exe',''); QuarantineFile('c:\windows\system32\com\lsass.exe',''); QuarantineFile('c:\documents and settings\user\ie_updates3r.exe',''); DeleteFile('c:\documents and settings\user\ie_updates3r.exe'); DeleteFile('c:\windows\system32\com\lsass.exe'); DeleteFile('c:\windows\system32\com\smss.exe'); DeleteFile('c:\windows\winlogon.exe'); DeleteFile('C:\windows\system32\djki397g.dll'); DeleteFile('C:\windows\system32\hdxjd4g.dll'); DeleteFile('C:\windows\twain_8.dll'); DeleteFile('Ycoe28.sys'); DeleteFile('C:\WINDOWS\system32\blphc3lbj0e1ba.scr'); DeleteFile('C:\windows\TEMP\csrssc.exe'); DeleteFile('C:\windows\TEMP\winlagon.exe'); DeleteFile('C:\windows\iexplorer.exe'); DeleteFile('C:\windows\msserv.exe'); DeleteFile('C:\windows\system32\ntos.exe'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Надпись на рабочем столе пропала. При зареске приложений отчет для Microsoft не вылетает. Высылаю логи и карантин. Поглядите..
Последний раз редактировалось dendo; 01.12.2008 в 13:00.
скачайте C:\WINDOWS\System32\Drivers\Ycoe28.sys - force delete
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\pagefile.pif',''); QuarantineFile('C:\windows\twain_8.dll',''); TerminateProcessByName('c:\windows\system32\com\smss.exe'); TerminateProcessByName('c:\windows\system32\com\lsass.exe'); DeleteFile('c:\windows\system32\com\lsass.exe'); BC_DeleteFile('c:\windows\system32\com\smss.exe'); DeleteFile('C:\WINDOWS\system32\com\lsass.exe'); DeleteFile('C:\WINDOWS\system32\com\smss.exe'); DeleteFile('C:\windows\twain_8.dll'); DeleteFile('C:\pagefile.pif'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\H@tKeysH@@k.DLL'); BC_DeleteSvc('Ycoe28'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
повторите логи ...
Сделал. Шлю логи. Жду ответа.
Последний раз редактировалось dendo; 01.12.2008 в 13:00.
Пофиксить
Жалобы есть?Код:O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\windows\twain_8.dll
Не фиксится.
O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - C:\windows\twain_8.dll
Все остальное пока в норме. Спасибо.
выполните скрипт ....
hijackthis.log - повторите ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\windows\twain_8.dll'); DelCLSID('53B95211-7D77-11D2-9F80-00104B107C96'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Вроде все чисто!
Последний раз редактировалось dendo; 01.12.2008 в 12:59.
почти чисто ....
пофиксите ...
Код:O18 - Filter hijack: text/html - {53B95211-7D77-11D2-9F80-00104B107C96} - (no file)
Уважаемый(ая) dendo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
