На рабочем столе окно с надписью "Warning! Spyware detected on your computer!"
Warning! Win32/Adware.Virtumonde
Detected on your computer
Warning! Win32/PrivacyRemover.M64
Detected on your computer
На рабочем столе окно с надписью "Warning! Spyware detected on your computer!"
Warning! Win32/Adware.Virtumonde
Detected on your computer
Warning! Win32/PrivacyRemover.M64
Detected on your computer
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скрипт 1Код:O4 - HKLM\..\Run: [Windows Monitor] winmon.exe O4 - HKLM\..\Run: [Microsoft media services] Iassd.exe O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe O4 - HKLM\..\RunServices: [Microsoft media services] Iassd.exe O4 - HKCU\..\Run: [Windows Monitor] winmon.exe O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe O4 - HKUS\S-1-5-18\..\RunServices: [Windows Monitor] winmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunServices: [Windows Monitor] winmon.exe (User 'Default user')
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('AccessSharing'); QuarantineFile('D:\program files\mysql\bin\mysqld-max-nt',''); QuarantineFile('C:\WINDOWS\system\wcntfysvc.exe',''); QuarantineFile('c:\windows\system32\drivers\svchost.exe',''); TerminateProcessByName('c:\windows\system32\drivers\svchost.exe'); DeleteFile('c:\windows\system32\drivers\svchost.exe'); DeleteFile('C:\WINDOWS\system\wcntfysvc.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('AccessSharing'); BC_Activate; RebootWindows(true); end.
- Выполните скрипт 2
После перезагрузки:Код:begin executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Прикрепляю файлы. Все кажется пофиксилось.
Вы бы как-то с защитой Вашей разобрались: Допотопный Каспер+Остатки Симантека+ Трендмикро. Поудаляйте ненужное.
Пофиксите
- Выполните скриптКод:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) O4 - HKUS\S-1-5-18\..\Run: [Windows Monitor] winmon.exe (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [Windows Monitor] winmon.exe (User 'Default user')
После перезагрузки закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).Код:begin SetAVZGuardStatus(True); QuarantineFile('D:\program.exe',''); QuarantineFile('c:\Temp\ktalk.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Повторите логи начиная от пункта 10 правил.
Вот.
Карантин закачали? В принципе кроме этих 2-х файлов - ничего плохого не видать. Если Вы их не знаете, нужно подождать результаты анализа из Вирлаба. Загляните ближе к вечеру или завтра в течение дня и напомните о себе.
В любом случае рекомендуется поставить Сервис Пак 3. После установки возможно потребуется активация системы.
Карантин закачала по ссылке. СП3 поставлю обязательно. Файлы эти не знаю, подожду конечно результаты анализа из Вирлаба. Спасибо!
Результатов не было?
1. Запуститесь с дистрибутива.svchost.exe_ - Trojan-Downloader.Win32.Small.aces
Детектирование файла будет добавлено в следующее обновление.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
Переписывание подтвердитеКод:copy C:\i386\svchost.exe C:\WINDOWS\system32\svchost.exe
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
Сделайте 3 лога по правилам.
логи
Сейчас чисто. Какие проблемы наблюдаете? Насчет Сервис Пака не забудьте
Давайте еще этих удалим. Они не троянцы, но и не нужны никому
- Выполните скрипт
Код:begin SetAVZGuardStatus(True); DeleteFile('C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi'); DeleteFile('C:\WINDOWS\system32\dns-sd.exe'); BC_ImportAll; BC_Activate; RebootWindows(true); end.
Скриптик выполнила. СП3 поставила. Жалоб нет. Полет нормальный.
Логи прикрепила. Не знаю нужно ли было, так, на всякий случай.
ага, да.
вобщем я так понимаю я могу спать спокойно.
спасибо за помощь!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 6
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\svchost.exe - Trojan-Downloader.Win32.Small.aces (DrWEB: Trojan.DownLoader.59802)
Уважаемый(ая) Зебра, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.