Показано с 1 по 13 из 13.

Проблема (заявка № 28694)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    57

    Exclamation Проблема

    Здравствуйте! Компьютер был заражен. Во-первых, в правом нижнем углу рядом со значками антивирусов и предложений автоматических обновлений загруженных программ появился значок в виде красного кружка с крестиком, который переодически выдает: "Your computer is infected! Windows has detected spyware infection!" и т.д. и требует загрузить какую-то программу. Во-вторых, Avast переодически выдает такое предупреждение: "слишком много идентичных электронных писем в определенное время" и предлагает продолжить или не отпралять. Я проверила систему все возможными антивирусами: Касперским, avast`ом, dr.Web, Ad-Aware SE Personal. Все они находили трояны, вроде удаляли их, но после перезагрузкивсе повторялось снова. Помогите, пожалуста!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Прочитайте и выполните правила.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Выполните пункт 2 правил.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\Drivers\Winci84.sys
    C:\WINDOWS\System32\Drivers\Winag51.sys
    C:\WINDOWS\System32\Drivers\Winci73.sys
    C:\WINDOWS\System32\Drivers\Winpv05.sys
    C:\WINDOWS\System32\Drivers\Winta51.sys
    C:\WINDOWS\system32\Drivers\Winci84.sys
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.dl_
    C:\WINDOWS\system32\WinCtrl32.bak
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     DeleteService('Winta51');
     DeleteService('Winpv05');
     DeleteService('Winci73');
     DeleteService('Winag51');
     DeleteService('TapiSrvAVP');
     DeleteService('srservicemnmsrvc');
     DeleteService('SpoolerAppMgmt');
     DeleteService('SamSsAudioSrv');
     DeleteService('PolicyAgentmnmsrvc');
     DeleteService('NetlogonUPS');
     DeleteService('MDMHTTPFilter');
     DeleteService('CryptSvcseclogon');
     DeleteService('AudioSrvBITS');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winci84.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winta51.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv05.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winci73.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winag51.sys','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winci84.sys','');
     QuarantineFile('C:\autorun.inf','');
     DeleteFile('C:\autorun.inf');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winci84.sys');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winag51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winci73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpv05.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winta51.sys');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winci84.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winta51');
     BC_DeleteSvc('Winpv05');
     BC_DeleteSvc('Winci73');
     BC_DeleteSvc('Winag51');
     BC_DeleteSvc('TapiSrvAVP');
     BC_DeleteSvc('srservicemnmsrvc');
     BC_DeleteSvc('SpoolerAppMgmt');
     BC_DeleteSvc('SamSsAudioSrv');
     BC_DeleteSvc('PolicyAgentmnmsrvc');
     BC_DeleteSvc('NetlogonUPS');
     BC_DeleteSvc('MDMHTTPFilter');
     BC_DeleteSvc('CryptSvcseclogon');
     BC_DeleteSvc('AudioSrvBITS');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи ///начиная от п.10 правил./// по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  5. #4
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    57
    Спасибо! Скачала IceSword, попыталась найти нужные файлы и ни один не нашла! Выполнила скрип, перезагрузила компьютер, но красный кружок с крестиком на месте и убираться не хочет. Почистила компьютер и сделала логи:
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему.
    5. Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\braviax.exe');
     TerminateProcessByName('c:\windows\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    .
    6. Повторите 3 лога.
    Последний раз редактировалось Rene-gad; 22.08.2008 в 18:46.

  7. #6
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    57
    В Выполнить компьютер предлагает ввести имя прграммы, папки, документа и пр. А на ввод msconfig выдает ошибку. Я что-то не так делаю?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Наверно msconfig поврежден. Пуск/Выполнить... набрать C:\WINDOWS\ServicePackFiles\i386\msconfig.exe нажать клавишу ВВОД. Если не удастся - попробуйте выключить Аваст!, потом выполните скрипт.

  9. #8
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    57
    При вводе C:\WINDOWS\ServicePackFiles\i386\msconfig.exe выдает, что он ссылается на недоступное место. А при выполнении скрипта пишет: Ошибка: '.' expected в позиции 13:1. Все так плохо?

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Запуститесь с дистрибутива.
    2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
    3. На приглашение введите строку:
    Код:
    expand X:\i386\msconfig.ex_ C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
    Вместо Х подставьте букву для сидюка. Переписывание подтвердите
    4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
    5. Загрузитесь нормально.

    Сорри, скрипт исправил.
    Попробуйте запустить.
    ПС: Сервер подвисает систематически - я уже пытался Вам ответить, но ответ в нирвану ушел.
    Последний раз редактировалось Rene-gad; 22.08.2008 в 18:52.

  11. #10
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    57
    Спасибо вам большое! Дистрибутива у меня нет, но после выполнения исправленного скрипта рассылка спама с моего компа прекратилась. Но красный крестик остался и Dr.Web находил Trojan.Rntm.10, однако сегодня он не нашел вируса, а после загрузки обновленной версии Dr.Web выявил Trojan.Packed.612, удалил, перезагрузился и снова его обнаружил, но после повторного удаления и перезагрузки крестика уже не было. Еще раз: спасибо!

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Файл нужно заменить. Найдите на другой такой же системе и скопируйте в папку C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe
    Потом повторите логи.

  13. #12
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    6
    Вес репутации
    57
    "На другой такой же системе" имеется ввиду с другого компьютера?

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Polina Посмотреть сообщение
    "На другой такой же системе" имеется ввиду с другого компьютера?
    Да.

  • Уважаемый(ая) Polina, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. проблема, очень большая проблема
      От Osomos в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 19.06.2011, 12:23
    2. Проблема
      От GRomaN в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.08.2010, 11:57
    3. Проблема с траффиком + проблема с AVZ.
      От Seventeenth в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 30.06.2010, 16:21
    4. Проблема
      От KonstanZT в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 03.06.2009, 17:23
    5. Проблема :(
      От Евгений91 в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 15.03.2008, 11:47

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01196 seconds with 20 queries