Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

"Warning!Spyware detected on your computer!" (заявка № 28358)

  1. #1
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64

    Exclamation "Warning!Spyware detected on your computer!"

    Здравствуйте!
    Исчезла фоновая картинка рабочего стола, и вместо нее на синем фоне сообщение - "Warning!Spyware detected on your computer!..."
    Кроме того, постоянно выскакивает окно с предупреждением, что невозможно запустить файл "vmmreg.bkp"
    Помогите.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте найти и удалить следующие файлы - force delete
    Код:
    C:\WINDOWS\System32\Drivers\Winrh55.sys
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    выполните скрипт .....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\Documents and Settings\tata\Local Settings\Temp\loader.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     DeleteService('Winmr72');
     DeleteService('VIDEO');
     DeleteService('Winib33');
     DeleteService('Winrh55');
     DeleteService('upnphostupnphost');
     DeleteService('uploadmgrWZCSVC');
     DeleteService('SPIDERNTIDriverT');
     DeleteService('RpcLocatorSPIDERNT');
     DeleteService('dmadminIDriverT');
     DeleteService('AlerterBrowser');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winrh55.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrh55.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winib33.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmr72.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\System32\blphc1noj0ec89.scr');
     DeleteFile('C:\WINDOWS\system32\winhelp32.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\Documents and Settings\tata\Local Settings\Temp\loader.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Не очень понял первую часть .. скачал две программы по ссылке: IceSword122en, и Spyware Doctor... Простите безграмотность, но для работы с Доктором нужно купить лицензию, а первая программа вообще непонятно как работает. Потому не понял.. как удалить указанные файлы?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    Doctor.... ни то что за деньги и даром не нужен .... нужен IceSword http://virusinfo.info/showthread.php?t=17228

  6. #5
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Фоновый рисунок восстановился, спасибо, но при загрузке и в период пользования продолжает выскакивать предупреждение о том, что "vmmreg.bkp" не является программой и не может быть запущена.
    moderated:::карантин загужать по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

    Простите, отправил выполненный скрипт и получил разъяснение. Могу я воспользоваться этой программой сейчас?
    После того как выполнил скрипт?
    Последний раз редактировалось Rene-gad; 18.08.2008 в 23:22.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Валерий Посмотреть сообщение
    Простите, отправил выполненный скрипт и получил разъяснение.
    Куда Вы отправили скрипт и от кого какие разъяснения получили? Карантин вместо того, чтобы закачать по правилам Вы влепили в топик, логов Ваших после скрипта не видно.
    Будем закрывать тему или постараетесь выполнить рекомендации хелпера?

  8. #7
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Выполнил рекомендации.
    Осталась проблема с всплывающим предупреждением, о файле vmmreg32.bkp
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Система у Вас дырявая. Информация о Сервис Паках и обновлениях мимо Вас прошла.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\Winhb27.sys
    C:\WINDOWS\System32\drivers\ethgmvzb.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ethgmvzb');
     DeleteService('Winhb27');
     DeleteService('upnphostupnphost');
     DeleteService('uploadmgrWZCSVC');
     DeleteService('TapiSrv Agent Service (default)');
     DeleteService('SPIDERNTIDriverT');
     DeleteService('RpcLocatorSPIDERNT');
     DeleteService('NtmsSvcstisvc');
     DeleteService('HidServSpooler');
     DeleteService('dmadminIDriverT');
     DeleteService('AlerterBrowser');
     QuarantineFile('C:\WINDOWS\System32\drivers\ethgmvzb.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winhb27.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhb27.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\ethgmvzb.sys');
    BC_ImportAll;
    ExecuteSysClean;
    RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', 'REG_EXPAND_SZ', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', 'REG_EXPAND_SZ', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    ExecuteRepair(5);
     BC_DeleteSvc('ethgmvzb');
     BC_DeleteSvc('Winhb27');
     BC_DeleteSvc('upnphostupnphost');
     BC_DeleteSvc('uploadmgrWZCSVC');
     BC_DeleteSvc('TapiSrv Agent Service (default)');
     BC_DeleteSvc('SPIDERNTIDriverT');
     BC_DeleteSvc('RpcLocatorSPIDERNT');
     BC_DeleteSvc('NtmsSvcstisvc');
     BC_DeleteSvc('HidServSpooler');
     BC_DeleteSvc('dmadminIDriverT');
     BC_DeleteSvc('AlerterBrowser');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Высылаю логи, после выполнения всех рекомендаций

  11. #10
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    логи
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    executerepair(1);
    executerepair(7);
    executerepair(9);
    executerepair(11);
    executerepair(17);
    RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', 'REG_EXPAND_SZ', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', 'REG_EXPAND_SZ', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    RebootWindows(true);
    end.
    - После перезагрузки сделайте повторный лог Hijackthis.
    - Прикрепите лог к новому сообщению.

  13. #12
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Новый лог.
    Сообщение продолжает появляться.. может просто удалить этот vmmreg.bkp?
    Спасибо.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    проблема в том, что этих файлов в логах АВЗ не видно.
    А Вы их видите?
    -Попробуйте пофиксить
    Код:
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKUS\S-1-5-19\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-19\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'LOCAL SERVICE')
    O4 - HKUS\S-1-5-20\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - HKUS\S-1-5-20\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'NETWORK SERVICE')
    O4 - S-1-5-19 Startup: vmmreg32.bkp (User 'LOCAL SERVICE')
    O4 - S-1-5-19 User Startup: vmmreg32.bkp (User 'LOCAL SERVICE')
    O4 - S-1-5-20 Startup: vmmreg32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-20 User Startup: vmmreg32.bkp (User 'NETWORK SERVICE')
    O4 - S-1-5-18 User Startup: vmmreg32.bkp (User 'SYSTEM')
    O4 - .DEFAULT User Startup: vmmreg32.bkp (User 'Default user')
    O20 - AppInit_DLLs: vmmreg32.dll
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Скачайте эту тулзу: http://www.glarysoft.com/rr.html?tag=download - русский язык нужно выбрать при установке - и прогоните ремонт реестра. Потом повторите лог Хайджека.

  15. #14
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Сделал, как Вы рекомендовали.
    Вот лог после того, как профиксил, и провел исправление реестра.

    На всякий случай, воспроизвожу полностью текст всплывающего окна. Оно появляется при включении, и периодически возникает при работе с интернетом.

    "Неверный образ.
    Приложение или бпблиотека C:\WINDOWS\sistem32\vmmreg32.dll не является образом программы для Windows NT
    Проверьте назначение установочного диска"
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Откройте редактор реестра (Пуск/Выполнить.. набарать regedit, надавить ВВОД).
    Экспортируйте ветки из папки HKEY_USERS:
    Код:
    S-1-5-19
    S-1-5-20
    S-1-5-18
    в отдельные файлы.
    Запакуйте их в архив и прикрепите к сообщению.

  17. #16
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Сделал.
    Вложения Вложения
    • Тип файла: zip virus.zip (155.2 Кб, 3 просмотров)

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Валерий Посмотреть сообщение
    Сделал.
    Спасибо. Сделаем так - я напишу коллеге. Он знает эту тему лучше меня. Загляните ближе к вечеру. У Вас только проблема в реестре, но не могу понять - в какой ветке. Файлов на диске нет.

  19. #18
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Очень благодарен за внимание к проблеме. Обуду ждать ответа.
    Огромное спасибо!
    Дело в том, что данный компьютер принадлежит моему коллеге. Он его весьма запустил, потому и такие проблемы.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Поищите с помощью АВЗ Сервис/Поиск реестра.. в реестре ключи по маске: vmmreg32.bkp Если найдете - фтопку их.
    EDIT: Совет от коллеги
    Цитата Сообщение от kps
    Пофиксить можно попробовать так:
    Запустить AVZ и включить AVZGuard. Потом в меню AVZGuard - запустить приложение как доверенное - запустить Hijackthis таким образом и пофиксить, что нужно.
    После этого перезагрузить компьютер.
    Просто AVZGuard не разрешает недоверенным приложениям редактировать реестр и соответсвенно восстанавливать записи.
    Последний раз редактировалось Rene-gad; 19.08.2008 в 17:40.

  21. #20
    Junior Member Репутация
    Регистрация
    30.11.2006
    Сообщений
    39
    Вес репутации
    64
    Все сделал, но сообщение выскакиевает. Может просто удалить этот файл vmmreg.dll?

  • Уважаемый(ая) Валерий, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 4
      Последнее сообщение: 22.02.2009, 06:34
    2. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:19
    3. Ответов: 4
      Последнее сообщение: 29.08.2008, 11:28
    4. Ответов: 1
      Последнее сообщение: 04.07.2008, 14:35
    5. Ответов: 1
      Последнее сообщение: 03.07.2008, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00295 seconds with 20 queries