Показано с 1 по 17 из 17.

Spyware detected on your computer (заявка № 28175)

  1. #1
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42

    Question Spyware detected on your computer

    Здравствуйте! Пожалуйста помогите.
    При включении компьютера появляется синий экран с надписью: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer".
    В свойствах экрана не доступны закладки "Заставка" и "Рабочий стол".
    Тормозит вся система, поменялись системное время и дата.
    SpyderMail показывал отправку писем через порт, хотя все мои почтовый программы были закрыты.
    После перезагрузки компьютера некоторые программы (Dr.Web, StyleXP) перестали работать, т.к. не могут найти файл лицензии или ключ.
    Заранее спасибо!
    Последний раз редактировалось RWC; 16.05.2009 в 16:33.

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Отключите восстановление системы!
    На время выполнения скрипта отключите интернет и антивирус.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\RWC\Local Settings\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\system32\lphc5pqj0eg2p.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc5pqj0eg2p.scr','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Wintp75.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winnl08.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winbl54.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\csdlocalmon.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Winbl54.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winnl08.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Wintp75.sys');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\WINDOWS\system32\blphc5pqj0eg2p.scr');
     DeleteFile('C:\WINDOWS\system32\lphc5pqj0eg2p.exe');
     DeleteFile('C:\Documents and Settings\RWC\Local Settings\Temp\loader.exe');
    BC_ImportALL;
    BC_DeleteSvc('SpoolerStarWindService');
    BC_DeleteSvc('lanmanserverAppMgmt');
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=28175).
    Поставьте правильную дату.
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Карантин прислал.Дату поставил.Логи ниже.

    Спасибо, вроде все симптомы прошли, только файл лицензии, ключи многие программы не могут найти, скорее всего, может это из-за сбившегося времени.
    Что-нибудь еще делать надо?
    Последний раз редактировалось RWC; 16.05.2009 в 16:33.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('AdobeBthServ');
     DeleteService('RDSessMgrDnscache');
     DeleteService('SpoolerCiSvc');
     DeleteService('WudfSvcDnscache');
     DeleteService('Winxc76');
     DeleteService('Winus71');
     DeleteService('Winsn78');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winsn78.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winus71.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winxc76.sys','');
     DeleteFile('C:\WINDOWS\System32\drivers\Winxc76.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winus71.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winsn78.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('AdobeBthServ');
     BC_DeleteSvc('RDSessMgrDnscache');
     BC_DeleteSvc('SpoolerCiSvc');
     BC_DeleteSvc('WudfSvcDnscache');
     BC_DeleteSvc('Winxc76');
     BC_DeleteSvc('Winus71');
     BC_DeleteSvc('Winsn78');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Профиксил, скрипт выполнил.

    Кстати, после перезагрузки все программы заработали.

    Карантин закачал. Логи ниже.
    Последний раз редактировалось RWC; 16.05.2009 в 16:33.

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    И снова восстановление системы оставлено включенным! Отключите его, иначе есть вероятность восстановления ваших троянов. Потом можете включить обратно.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Сорри, уже отключил.Точки востановления удалил.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Отключите восстановление системы!
    На время выполнения скрипта отключите интернет и антивирус.

    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [ccPrxy.exe] ccPrxy.exe
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('AdobeBthServ');
    BC_DeleteSvc('AdobeBthServ');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи, начиная с п.10 правил.

  10. #9
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    все сделал, логи ниже.

    а что за ссервис такой "AdobeBthServ"- не от фотошопа ли, или риадера?
    Последний раз редактировалось RWC; 16.05.2009 в 16:33.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от RWC Посмотреть сообщение
    а что за ссервис такой "AdobeBthServ"- не от фотошопа ли, или риадера?
    Нет Нет такой буквы.... эххм, такого сервиса ни у Адоби Фотошоп ни у Ридера ...
    Пуск/Выполнить... набрать cmd, нажать Ввод.
    В открывшемся ДОС-Окошке набрать
    Код:
    sc delete adobebthserv

    нажать Ввод...
    Возможный запрос Уверенны ли Вы подтвердить.
    Если сообщения об ошибках - сообшите тут.
    Перегрузиться, сделать только лог syscheck.

  12. #11
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    сделал

    Код:
    Microsoft Windows XP [Версия 5.1.2600]
    (С) Корпорация Майкрософт, 1985-2001.
    C:\Documents and Settings\RWC>sc delete adobebthserv
    [SC] DeleteService SUCCESS
    C:\Documents and Settings\RWC>

    syscheck сделал.
    Последний раз редактировалось RWC; 16.05.2009 в 16:33.

  13. #12
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    забыл перезагрузиться, вот новый syscheck ниже
    Последний раз редактировалось RWC; 16.05.2009 в 16:33.

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    ничего плохого ...

  15. #14
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    В основном все чисто и нормально? Спасибо большое!!!

    Еще хотелось спросить, какие программы порекомендовали бы, для чистки-омолаживания WinXP, и реестра?

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от RWC Посмотреть сообщение
    Тоесть в основном все нормально?
    Мы можем судить только по логам . Они проблем не покаызвают. Поэтому Ваша информация о поведении ПК нам очень важна.
    Цитата Сообщение от RWC Посмотреть сообщение
    Еще хотелось спросить, какие программы порекомендовали бы, для чистки-омолаживания WinXP, и реестра?
    Если Вы внимательно читали мое собщение 4, то наверняка видели ссылку на статейку Как почистить мусор на ПК. Я надеялся грешным делом, что Вы даже рекомендованное выполнили. По Вашему вопросу же судя вы ее просто проигнорировали...

  17. #16
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    16.08.2008
    Сообщений
    57
    Вес репутации
    42
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Мы можем судить только по логам. Они проблем не показывают. Поэтому Ваша информация о поведении ПК нам очень важна.

    Ну, я тоже больше не вижу проблем, проверка на вирусы тоже показывает все чисто.
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Если Вы внимательно читали мое собщение 4, то наверняка видели ссылку на статейку. Как почистить мусор на ПК. Я надеялся грешным делом, что Вы даже рекомендованное выполнили. По Вашему вопросу же судя вы ее просто проигнорировали...


    Нет, не игнорировал... делал, своими методами, ссылку не заметил =))

    Все спасибо... пойду ставить 3 сервис пак =)

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,555
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 39
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\rwc\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.aayp (DrWEB: Trojan.DownLoad.2077)
      2. c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001893.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      3. c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001894.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      4. c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001895.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      5. c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001923.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      6. c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001924.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      7. c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001925.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      8. c:\\windows\\system32\\drivers\\winbl54.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      9. c:\\windows\\system32\\drivers\\winnl08.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      10. c:\\windows\\system32\\drivers\\winsn78.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      11. c:\\windows\\system32\\drivers\\wintp75.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      12. c:\\windows\\system32\\drivers\\winus71.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      13. c:\\windows\\system32\\drivers\\winxc76.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
      14. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axq (DrWEB: Trojan.DownLoad.3503)


  • Уважаемый(ая) RWC, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    2. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    3. Ответов: 1
      Последнее сообщение: 29.09.2008, 10:38
    4. Ответов: 4
      Последнее сообщение: 28.09.2008, 22:54
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 18:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01074 seconds with 22 queries