Показано с 1 по 14 из 14.

На десктопе "SpyWare Detected..." и так далее (заявка № 26909)

  1. #1
    Junior Member Репутация
    Регистрация
    22.07.2008
    Сообщений
    7
    Вес репутации
    58

    Thumbs up На десктопе "SpyWare Detected..." и так далее

    Здравствуйте уважаемые Специалисты.
    Прошу Вашей помощи. Поимел уже неоднократно описанные здесь симптомы: заменилась картинка рабочего стола на надпись "SpyWare Detected ...", пропала возможность сменить картинку, отлючился брендмауэр и не дает включить обратно.
    У меня стоит DrWeb и он обнаружил и ликвидировал вируc, название точно не запомнил, но что то типа Troyan.MulDrop.
    Сначала я попытался повыковыривать остальной вирусняк сам, но думаю что не особо успешно.
    Постарался сделать все по вашей инструкции, логи прикладываю.
    Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Program Files\MaxAntiSpy\MaxAntiSpy.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphccjlj0e7ev.scr','');
     QuarantineFile('C:\Program Files\MaxAntiSpy\SSS.sys','');
     QuarantineFile('C:\WINDOWS\system32\adptifw.dll','');
     QuarantineFile('C:\WINDOWS\system32\admparsey.dll','');
     DeleteFile('C:\WINDOWS\system32\blphccjlj0e7ev.scr');
     DeleteFile('C:\WINDOWS\system32\admparsey.dll');
     DeleteFile('C:\WINDOWS\system32\adptifw.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    22.07.2008
    Сообщений
    7
    Вес репутации
    58
    карантин закачал
    логи прикладываю
    спасибо
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    MaxAntiSpy - деисталируйте от греха ... что -то больно уж подозрительная штука ...
    выполните скрипт ...
    Код:
    begin
     QuarantineFile('c:\Temp\e7s0St2t.sys','');
      QuarantineFile('C:\WINDOWS\system32\admparseo.exe','');     
    end.
    пришлите карантин согласно приложения 3 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    22.07.2008
    Сообщений
    7
    Вес репутации
    58
    MaxAntiSpy - снес
    скрипт прогнал
    в карантин попал только admparseo.exe
    файл карантина закачал

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\admparseo.exe');
     DeleteFile('c:\Temp\e7s0St2t.sys');         
     BC_ImportDeletedList;
     BC_DeleteSvc('FastUserSwitchingCompatibilitySamSs');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи ....

  8. #7
    Junior Member Репутация
    Регистрация
    22.07.2008
    Сообщений
    7
    Вес репутации
    58
    скрипт прогнал
    логи высылаю
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('MaxAntiSpyFilter');
     DeleteFile('C:\Program Files\MaxAntiSpy\SSS.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    какие-то проблемы остались ?

  10. #9
    Junior Member Репутация
    Регистрация
    22.07.2008
    Сообщений
    7
    Вес репутации
    58
    осталась надпись про SpyWare Detected при старте XP

    и еще есть сомнения по поводу этого файла (копия из лога AVZ)
    Функция NtCreateKey (29) перехвачена (8056F063->F74920E0), перехватчик spqv.sys
    Функция NtEnumerateKey (47) перехвачена (8056F76A->F74AFCA2), перехватчик spqv.sys
    Функция NtEnumerateValueKey (49) перехвачена (805801FE->F74B0030), перехватчик spqv.sys
    Функция NtOpenKey (77) перехвачена (805684D5->F74920C0), перехватчик spqv.sys
    Функция NtQueryKey (A0) перехвачена (8056F473->F74B010, перехватчик spqv.sys
    Функция NtQueryValueKey (B1) перехвачена (8056B9A8->F74AFF8, перехватчик spqv.sys
    Функция NtSetValueKey (F7) перехвачена (80575527->F74B019A), перехватчик spqv.sys

    я заметил что после каждой перезагрузки он есть но под разными именами из 4 букв
    нет ли тут чего ненужного

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    это не страшно - эмулятор дисков ...

  12. #11
    Junior Member Репутация
    Регистрация
    22.07.2008
    Сообщений
    7
    Вес репутации
    58
    Спасибо Вам огромное, очень помогли.

    P.S.
    если незатруднит, напишите пожалуйста, что за "красавцы" у меня побывали.
    P.S.S.
    Мучаюсь любопытством: зачем заменялась картинка рабочего стола надписью про Spyware в чем тут смысл ?

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    из того что было в карантине
    admparseo.exe_ - Backdoor.Win32.IRCBot.ees

  14. #13
    Junior Member Репутация
    Регистрация
    22.07.2008
    Сообщений
    7
    Вес репутации
    58
    большое спасибо!

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\admparseo.exe - Backdoor.Win32.IRCBot.ees (DrWEB: BackDoor.IRC.Nite.1
      2. c:\\windows\\system32\\admparsey.dll - Trojan-Proxy.Win32.Agent.ate (DrWEB: Trojan.Proxy.3363)
      3. c:\\windows\\system32\\adptifw.dll - Trojan-Spy.Win32.Small.bvh (DrWEB: Trojan.PWS.MailOut.4)


  • Уважаемый(ая) AlCh, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 14
      Последнее сообщение: 22.02.2009, 06:26
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:19
    3. Ответов: 4
      Последнее сообщение: 29.08.2008, 11:28
    4. Ответов: 1
      Последнее сообщение: 04.07.2008, 14:35
    5. Ответов: 1
      Последнее сообщение: 03.07.2008, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00031 seconds with 17 queries