Junior Member
Вес репутации
58
Warning! Spyware detected on your computer!
Вчера появилась надпись на рабочем столе на белом фоне Warning! Spyware detected on your computer! Warning! Win32/Adware.Virtumonde Detected on your computer Danger! Warning! Win32/PrivacyRemover.M64 Detected on your computer Danger! Вдобавок исчезли в Свойствах две закладки: Рабочий стол и Заставка. В папке LOG после выполненных действий, указанных в правилах не оказалось файла virusinfo_syscure, вместо него там есть файл virusinfo_cure, поэтому присылаю все остальные логи:
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте C:\WINDOWS\System32\Drivers\Winph87.sys- force delete
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
DeleteService('Winev55');
DeleteService('Winge01');
DeleteService('Wingg45');
DeleteService('Winhh53');
DeleteService('Winml35');
DeleteService('Winsd65');
DeleteService('Winsh16');
DeleteService('Winup51');
DeleteService('Winux57');
DeleteService('Winwy06');
DeleteService('Winxh04');
DeleteService('Winxr17');
DeleteService('Winyg23');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winph87.sys','');
DeleteService('Winph87');
DeleteService('wuauservSysmonLog');
DeleteService('wscsvcThemes');
DeleteService('WebClientTlntSvr');
DeleteService('RpcLocatorFastUserSwitchingCompatibility');
DeleteService('oseCryptSvc');
DeleteService('NlaMessenger');
DeleteService('lanmanserverlanmanworkstationDhcpwuauservSysmonLog');
DeleteService('lanmanserverlanmanworkstation');
DeleteService('hkmsvcRpcLocator');
DeleteService('HidServTermService');
DeleteService('helpsvcxmlprov');
DeleteService('dmserverERSvc');
DeleteService('DhcpwuauservSysmonLog');
DeleteService('ClipSrvwinmgmt');
DeleteService('ClipSrvdmadmin');
DeleteService('AudioSrvSENS');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winph87.sys','');
QuarantineFile('C:\WINDOWS\system32\lphcta3j0egh4.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\windows\system32\lphcta3j0egh4.exe','');
DeleteFile('c:\windows\system32\lphcta3j0egh4.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\lphcta3j0egh4.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Winph87.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winph87.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winge01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhh53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winml35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsd65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsh16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winup51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winux57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwy06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxh04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxr17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg23.sys');
DeleteFile('C:\WINDOWS\system32\blphcta3j0egh4.scr');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
повторите логи ...
Junior Member
Вес репутации
58
извиняюсь за дурацкий вопрос , а что такое C:\WINDOWS\System32\Drivers\Winph87.sys- force delete? И где мне нужно выполнить скрипт?
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\System32\Drivers\Winph87.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Выполните скрипт
Давите на ссылки - там все написано.
Junior Member
Вес репутации
58
после выполнения скрипта в AVZ вышла ошибка: Failed to set data for 'DisplayName'. Что это значит? Скрипт выполнился или нет?
Junior Member
Вес репутации
58
Пока что никаких изменений картинка с сообщением осталась, и вкладок: Рабочий стол , заставка по-прежнему нет.
Вот логи :
Вложения
Сообщение от
STALKER333
Пока что никаких изменений картинка с сообщением осталась, и вкладок: Рабочий стол , заставка по-прежнему нет.
Вам чего сейчас дороже - голова или прическа? Ща сделаем прическу, а голова пущай в петле висит.... Будет все, но не сразу.
IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winyg23');
DeleteService('Winxr17');
DeleteService('Winxh04');
DeleteService('Winwy06');
DeleteService('Winux57');
DeleteService('Winup51');
DeleteService('Winsh16');
DeleteService('Winsd65');
DeleteService('Winph87');
DeleteService('Winml35');
DeleteService('Winhh53');
DeleteService('Wingg45');
DeleteService('Winge01');
DeleteService('Winev55');
DeleteService('Winaw56');
DeleteService('WDICA');
DeleteService('Wintp35');
DeleteService('wuauservSysmonLog');
DeleteService('wscsvcThemes');
DeleteService('WebClientTlntSvr');
DeleteService('RpcLocatorFastUserSwitchingCompatibility');
DeleteService('oseCryptSvc');
DeleteService('NlaMessenger');
DeleteService('Messengerhelpsvcxmlprov');
DeleteService('LmHostsTrkWks');
DeleteService('lanmanserverlanmanworkstationDhcpwuauservSysmonLog');
DeleteService('lanmanserverlanmanworkstation');
DeleteService('hkmsvcRpcLocator');
DeleteService('HidServTermService');
DeleteService('helpsvcxmlprov');
DeleteService('EventlogTapiSrv');
DeleteService('dmserverERSvc');
DeleteService('DhcpwuauservSysmonLog');
DeleteService('ClipSrvwinmgmt');
DeleteService('ClipSrvdmadmin');
DeleteService('AudioSrvSENS');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaw56.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wintp35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winev55.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winge01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingg45.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhh53.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winml35.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winph87.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsd65.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsh16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winup51.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winux57.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwy06.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxh04.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxr17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winyg23.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('c:\windows\system32\lphcta3j0egh4.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\lphcta3j0egh4.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintp35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg23.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxr17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxh04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwy06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winux57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winup51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsh16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsd65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winph87.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winml35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhh53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winge01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaw56.sys');
DeleteFile('C:\WINDOWS\system32\blphcta3j0egh4.scr');
DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winyg23');
BC_DeleteSvc('Winxr17');
BC_DeleteSvc('Winxh04');
BC_DeleteSvc('Winwy06');
BC_DeleteSvc('Winux57');
BC_DeleteSvc('Winup51');
BC_DeleteSvc('Winsh16');
BC_DeleteSvc('Winsd65');
BC_DeleteSvc('Winph87');
BC_DeleteSvc('Winml35');
BC_DeleteSvc('Winhh53');
BC_DeleteSvc('Wingg45');
BC_DeleteSvc('Winge01');
BC_DeleteSvc('Winev55');
BC_DeleteSvc('Winaw56');
BC_DeleteSvc('WDICA');
BC_DeleteSvc('Wintp35');
BC_DeleteSvc('wuauservSysmonLog');
BC_DeleteSvc('wscsvcThemes');
BC_DeleteSvc('WebClientTlntSvr');
BC_DeleteSvc('RpcLocatorFastUserSwitchingCompatibility');
BC_DeleteSvc('oseCryptSvc');
BC_DeleteSvc('NlaMessenger');
BC_DeleteSvc('Messengerhelpsvcxmlprov');
BC_DeleteSvc('LmHostsTrkWks');
BC_DeleteSvc('lanmanserverlanmanworkstationDhcpwuauservSysmonLog');
BC_DeleteSvc('lanmanserverlanmanworkstation');
BC_DeleteSvc('hkmsvcRpcLocator');
BC_DeleteSvc('HidServTermService');
BC_DeleteSvc('helpsvcxmlprov');
BC_DeleteSvc('EventlogTapiSrv');
BC_DeleteSvc('dmserverERSvc');
BC_DeleteSvc('DhcpwuauservSysmonLog');
BC_DeleteSvc('ClipSrvwinmgmt');
BC_DeleteSvc('ClipSrvdmadmin');
BC_DeleteSvc('AudioSrvSENS');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Опять никаких изменений,
Вот логи:
Вложения
Последний раз редактировалось V_Bond; 20.08.2008 в 23:41 .
Причина: карантин в теме
в IceSword удалите C:\WINDOWS\system32\Drivers\Wintp35.sys - это нужно сделать обязательно !!!!
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6C517674-DE1C-4493-977C-34A1BFAB35BA}');
BC_DeleteSvc('Winaw56');
BC_DeleteSvc('Winev55');
BC_DeleteSvc('Winge01');
BC_DeleteSvc('Wingg45');
BC_DeleteSvc('Winhh53');
BC_DeleteSvc('Winml35');
BC_DeleteSvc('Winph87');
BC_DeleteSvc('Winsd65');
BC_DeleteSvc('Winsh16');
BC_DeleteSvc('Winup51');
BC_DeleteSvc('Winux57');
BC_DeleteSvc('Winwy06');
BC_DeleteSvc('Winxh04');
BC_DeleteSvc('Winxr17');
BC_DeleteSvc('Winyg23');
BC_DeleteSvc('Wintp35');
BC_DeleteSvc('wuauservSysmonLog');
BC_DeleteSvc('wscsvcThemes');
BC_DeleteSvc('WebClientTlntSvr');
BC_DeleteSvc('ShellHWDetection HotKey Poller');
BC_DeleteSvc('RpcLocatorFastUserSwitchingCompatibility');
BC_DeleteSvc('oseCryptSvc');
BC_DeleteSvc('NlaMessenger');
BC_DeleteSvc('Messengerhelpsvcxmlprov');
BC_DeleteSvc('LmHostsTrkWks');
BC_DeleteSvc('lanmanserverlanmanworkstationDhcpwuauservSysmonLog');
BC_DeleteSvc('lanmanserverlanmanworkstation');
BC_DeleteSvc('hkmsvcRpcLocator');
BC_DeleteSvc('HidServTermService');
BC_DeleteSvc('helpsvcxmlprov');
BC_DeleteSvc('EventlogTapiSrv');
BC_DeleteSvc('dmserverERSvc');
BC_DeleteSvc('DhcpwuauservSysmonLog');
BC_DeleteSvc('ClipSrvwinmgmt');
BC_DeleteSvc('AudioSrvSENS');
DeleteFile('c:\windows\system32\lphcta3j0egh4.exe');
DeleteFile('C:\WINDOWS\system32\blphcta3j0egh4.scr');
DeleteFile('C:\WINDOWS\system32\lphcta3j0egh4.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Wintp35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintp35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaw56.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winev55.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winge01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingg45.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhh53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winml35.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsd65.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsh16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winup51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winux57.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwy06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxh04.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxr17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg23.sys');
DeleteFile('C:\Program Files\VirtualNetwork\VirtualNetwork.dll');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
повторите логи .....
Junior Member
Вес репутации
58
Вложения
у меня складываеся впечетление что скрипт не выполнялся вообще ....
или это все проделки аутпоста .... деинсталируйте ... и все заново из предыдущего поста ...
Junior Member
Вес репутации
58
А можно как-нибудь обойтись без деинсталяции аутпоста, а то у меня на диске аутпост выпуска 2007, и с моей интернет-скоростью 12-15 кб/с будет выкачивать обновления 45 мб за 1 час
Попробуйте так:
Запуск системы в минимальной конфигурации
1. Пуск/Выполнить... набрать msconfig , нажать клавишу ВВОД .
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему, далее по тексту.
Junior Member
Вес репутации
58
Вот, выложил новые логи, сделал как было сказано, -
Пуск/Выполнить... набрать msconfig , нажать клавишу ВВОД .
в карточке Автозапуск - Все отключить
в карточке Службы - Службы Windows не показывать, остальные отключить
Но опять же, после выполнения скрипта в AVZ вышла ошибка: Failed to set data for 'DisplayName'
Вложения
выполните стандарный скрипт 6 ...
деинсталируем аутпост ...
потом рекомендации из поста 10 ...
Junior Member
Вес репутации
58
Извините меня за дурацкий вопрос, что такое стандарный скрипт 6, это тот ,который написан в посте 2 ?
авз- файл - стандартные скрипты
Junior Member
Вес репутации
58
стандартный скрипт 6 это - Удаление всех драйверов и ключей реестра AVZ ?