Показано с 1 по 13 из 13.

Проблема (заявка № 28694)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    31

    Exclamation Проблема

    Здравствуйте! Компьютер был заражен. Во-первых, в правом нижнем углу рядом со значками антивирусов и предложений автоматических обновлений загруженных программ появился значок в виде красного кружка с крестиком, который переодически выдает: "Your computer is infected! Windows has detected spyware infection!" и т.д. и требует загрузить какую-то программу. Во-вторых, Avast переодически выдает такое предупреждение: "слишком много идентичных электронных писем в определенное время" и предлагает продолжить или не отпралять. Я проверила систему все возможными антивирусами: Касперским, avast`ом, dr.Web, Ad-Aware SE Personal. Все они находили трояны, вроде удаляли их, но после перезагрузкивсе повторялось снова. Помогите, пожалуста!

  2. Реклама
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,662
    Вес репутации
    2817
    Прочитайте и выполните правила.
    Наша служба, будто сердце, отдыха не знает никогда.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Выполните пункт 2 правил.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\Drivers\Winci84.sys
    C:\WINDOWS\System32\Drivers\Winag51.sys
    C:\WINDOWS\System32\Drivers\Winci73.sys
    C:\WINDOWS\System32\Drivers\Winpv05.sys
    C:\WINDOWS\System32\Drivers\Winta51.sys
    C:\WINDOWS\system32\Drivers\Winci84.sys
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.dl_
    C:\WINDOWS\system32\WinCtrl32.bak
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     DeleteService('Winta51');
     DeleteService('Winpv05');
     DeleteService('Winci73');
     DeleteService('Winag51');
     DeleteService('TapiSrvAVP');
     DeleteService('srservicemnmsrvc');
     DeleteService('SpoolerAppMgmt');
     DeleteService('SamSsAudioSrv');
     DeleteService('PolicyAgentmnmsrvc');
     DeleteService('NetlogonUPS');
     DeleteService('MDMHTTPFilter');
     DeleteService('CryptSvcseclogon');
     DeleteService('AudioSrvBITS');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winci84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winta51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winci73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winag51.sys','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winci84.sys','');
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winci84.sys');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winci73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpv05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winci84.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winta51');
     BC_DeleteSvc('Winpv05');
     BC_DeleteSvc('Winci73');
     BC_DeleteSvc('Winag51');
     BC_DeleteSvc('TapiSrvAVP');
     BC_DeleteSvc('srservicemnmsrvc');
     BC_DeleteSvc('SpoolerAppMgmt');
     BC_DeleteSvc('SamSsAudioSrv');
     BC_DeleteSvc('PolicyAgentmnmsrvc');
     BC_DeleteSvc('NetlogonUPS');
     BC_DeleteSvc('MDMHTTPFilter');
     BC_DeleteSvc('CryptSvcseclogon');
     BC_DeleteSvc('AudioSrvBITS');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи ///начиная от п.10 правил./// по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    31
    Спасибо! Скачала IceSword, попыталась найти нужные файлы и ни один не нашла! Выполнила скрип, перезагрузила компьютер, но красный кружок с крестиком на месте и убираться не хочет. Почистила компьютер и сделала логи:
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему.
    5. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     TerminateProcessByName('c:\windows\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    .
    6. Повторите 3 лога.
    Последний раз редактировалось Rene-gad; 22.08.2008 в 18:46.

  7. #6
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    31
    В Выполнить компьютер предлагает ввести имя прграммы, папки, документа и пр. А на ввод msconfig выдает ошибку. Я что-то не так делаю?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Наверно msconfig поврежден. Пуск/Выполнить... набрать C:\WINDOWS\ServicePackFiles\i386\msconfig.exe нажать клавишу ВВОД. Если не удастся - попробуйте выключить Аваст!, потом выполните скрипт.

  9. #8
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    31
    При вводе C:\WINDOWS\ServicePackFiles\i386\msconfig.exe выдает, что он ссылается на недоступное место. А при выполнении скрипта пишет: Ошибка: '.' expected в позиции 13:1. Все так плохо?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    1. Запуститесь с дистрибутива.
    2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
    3. На приглашение введите строку:
    Код:
    expand X:\i386\msconfig.ex_ C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
    Вместо Х подставьте букву для сидюка. Переписывание подтвердите
    4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    5. Загрузитесь нормально.

    Сорри, скрипт исправил.
    Попробуйте запустить.
    ПС: Сервер подвисает систематически - я уже пытался Вам ответить, но ответ в нирвану ушел.
    Последний раз редактировалось Rene-gad; 22.08.2008 в 18:52.

  11. #10
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    31
    Спасибо вам большое! Дистрибутива у меня нет, но после выполнения исправленного скрипта рассылка спама с моего компа прекратилась. Но красный крестик остался и Dr.Web находил Trojan.Rntm.10, однако сегодня он не нашел вируса, а после загрузки обновленной версии Dr.Web выявил Trojan.Packed.612, удалил, перезагрузился и снова его обнаружил, но после повторного удаления и перезагрузки крестика уже не было. Еще раз: спасибо!

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Файл нужно заменить. Найдите на другой такой же системе и скопируйте в папку C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
    Потом повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    31
    "На другой такой же системе" имеется ввиду с другого компьютера?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от Polina Посмотреть сообщение
    "На другой такой же системе" имеется ввиду с другого компьютера?
    Да.

  • Уважаемый(ая) Polina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. проблема, очень большая проблема
      От Osomos в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.06.2011, 12:23
    2. Проблема
      От GRomaN в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.08.2010, 11:57
    3. Проблема с траффиком + проблема с AVZ.
      От Seventeenth в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 30.06.2010, 16:21
    4. Проблема
      От KonstanZT в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.06.2009, 17:23
    5. Проблема :(
      От Евгений91 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 15.03.2008, 11:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00706 seconds with 21 queries