Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Фон: Warning! spyware detected on your computer (заявка № 28979)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31

    Question Фон: Warning! spyware detected on your computer

    Здраствуйте!

    Был в инете. Потом вижу пропали обои с рабочего стола, фон стал белым. Мой сторож NOD 32 стал выдавать сообщения типа вирус троян, его название ну и то что он очищен. удален, изолирован, и так много раз. Пропали вкладки рабочий стол и заставка в свойствах. Перезагрузил комп и увидел такое сообщение на красном окне:
    Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer.
    Я обновил базу НОД и прогнал весь комп по полной нашло много чего, лечить не вышло, все удалило. Потом я обновил виндовс на безопасность, перезагрузился, красное окно исчезло, фон стал синим но вкладки так и не появились. Нашол ваш сайт, все сделал как написано в ваших правилах, ничего не изменилось. Теперь только надеюсь на вашу помощь.

    Прилагаю логи:
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    Отключите
    - ПК от интернета/локалки
    - Антивирус/ Файрвол.
    - Системное востановление.
    - Выполните скрипт @ avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('C:\WINDOWS\system32\ipp20\ippmpa6.dll','');
     QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     DeleteService('Winyd20');
     DeleteService('Winxk18');
     QuarantineFile('C:\windows\System32\Drivers\Winxk18.sys','');
     DeleteService('Winsm53');
     QuarantineFile('C:\windows\System32\drivers\Winsm53.sys','');
     DeleteService('Winna75');
     QuarantineFile('C:\windows\System32\drivers\Winna75.sys','');
     DeleteService('Winfr86');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winfr86.sys','');
     DeleteService('Winco42');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winco42.sys','');
     QuarantineFile('C:\windows\system32\DRIVERS\Mama.sys','');
     QuarantineFile('C:\windows\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\windows\System32\Drivers\dtscsi.sys','');
     QuarantineFile('C:\Program Files\MyProxy\MyProxy.dll','');
     DeleteFile('C:\WINDOWS\System32\drivers\Winco42.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winfr86.sys');
     DeleteFile('C:\windows\System32\drivers\Winna75.sys');
     DeleteFile('C:\windows\System32\drivers\Winsm53.sys');
     DeleteFile('C:\windows\System32\Drivers\Winxk18.sys');
     DeleteFile('C:\windows\System32\drivers\Winyd20.sys');
     DeleteFile('C:\WINDOWS\system32\ipp20\ippmpa6.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31
    Здраствуйте.
    Большое спасибо, все сделал как вы писали. Но опять идут какие то атаки, так как сторож НОД 32 опять ругается, пишет троянская программа, удален, изолирован итак уже 4 раза, разные. Посмотрите что это? И еще может подскажите какая сейчас наилучшая антивирусная программа, может стоит поменять? И еще извините меня пожалуйста, но я не могу найти, где у меня находиться папка с карантином, подскажите?
    Заранее благодарен за ответ.

    Прилагаю логи:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Нарушения правил при сборе информации для раздела Помогите.


    - Не закрыты все программы
    - Не запущен Интернет Эксплорер.
    - Не выключен установленный антивирус.


    Логи выполненные с нарушением правил рассматриваться не будут.
    Спасибо за понимание.


    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\windows\SYSTEM32\WinCtrl32.dll
    C:\windows\SYSTEM32\WinCtrl32.dl_
    C:\windows\SYSTEM32\WinCtrl32.bak
    C:\windows\System32\drivers\Winqm20.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('UPSWMPNetworkSvc');
     DeleteService('RpcLocatorProtectedStorageHTTPFilter');
     DeleteService('RpcLocatorProtectedStorage');
     DeleteService('ImapiServicestisvc');
     DeleteService('CiSvcSchedule');
     DeleteService('Winqm20');
     DeleteService('Bonjour Service');
     QuarantineFile('C:\windows\System32\drivers\Winqm20.sys','');
     QuarantineFile('C:\windows\system32\~.exe/r','');
     QuarantineFile('C:\windows\SYSTEM32\WinCtrl32.dll','');
     DeleteFile('C:\windows\SYSTEM32\WinCtrl32.dll');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('C:\windows\system32\~.exe/r');
     DeleteFile('C:\windows\System32\drivers\Winqm20.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('UPSWMPNetworkSvc');
     BC_DeleteSvc('RpcLocatorProtectedStorageHTTPFilter');
     BC_DeleteSvc('RpcLocatorProtectedStorage');
     BC_DeleteSvc('ImapiServicestisvc');
     BC_DeleteSvc('CiSvcSchedule');
     BC_DeleteSvc('Winqm20');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31
    Здраствуйте.
    Извините, старался делать все по правилам, может что-то упустил.
    Также сделал все как вы писали. Нашол только это: C:\windows\SYSTEM32\WinCtrl32.dll. И еще раньше до этих троянов у меня появилась такая проблема: при выключении или перезагрузке компьютера проскакивает окошко предупреждения: dwwin.exe в заголовке, а ниже "сбой инициализации из-за остановки рабочей станции". Она и сейчас есть. Может посоветуете, как избавиться от этого окошка, и что это? И еще может подскажите какая сейчас наилучшая антивирусная программа, может стоит поменять?
    Заранее благодарен за ответ.

    Логи прилагаю.
    Вложения Вложения
    Последний раз редактировалось merdok; 27.08.2008 в 15:21.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Больше проблем в логах не вижу.

    По Вашей другой проблеме: http://www.google.de/search?q=%D1%81...ient=firefox-a

    А насчет антивируса - а чем Вам Ваш не подходит? Если Вы ищете АВ, который будет все ловить - таких не существует и никогда не будет существовать.

  8. #7
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31

    Подтормаживает система...?

    Здраствуйте.
    Снова должен к вам обратиться за помощью.
    Что-то у меня начала подтормаживать система. И езэт ругаеться на вирусы. Сделал полную проверку системы, нашол трояны, удалил, но проблема осталась. Посмотрите в логах, что может быть?
    Заранее благодарен за ответ.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.09.2008 в 12:26.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33}');
     QuarantineFile('C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL','');
     QuarantineFile('C:\windows\system32\~.exe/r','');
     DeleteService('Winug20');
     DeleteService('Winhs42');
     DeleteService('Winhb64');
     DeleteService('Winfi20');
     DeleteService('Vgm07');
     DeleteService('Jmt76');
     QuarantineFile('C:\windows\System32\Drivers\Jmt76.sys','');
     DeleteService('ati7elxx');
     DeleteService('ati6rhxx');
     DeleteService('ati6jyxx');
     DeleteService('ati5vtxx');
     DeleteService('ati4wexx');
     DeleteService('ati2lbxx');
     QuarantineFile('C:\windows\System32\Drivers\ati7elxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati6rhxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati6jyxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati5vtxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati4wexx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati2lbxx.sys','');
     TerminateProcessByName('c:\windows\system32\cpl32ver.exe');
     QuarantineFile('c:\windows\system32\cpl32ver.exe','');
     DeleteFile('c:\windows\system32\cpl32ver.exe');
     DeleteFile('C:\windows\System32\Drivers\ati2lbxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati4wexx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati5vtxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati6jyxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati6rhxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati7elxx.sys');
     DeleteFile('C:\windows\System32\Drivers\Jmt76.sys');
     DeleteFile('C:\windows\System32\Drivers\Vgm07.sys');
     DeleteFile('C:\windows\System32\drivers\Winfi20.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhb64.sys');
     DeleteFile('C:\windows\System32\drivers\Winhs42.sys');
     DeleteFile('C:\windows\System32\drivers\Winug20.sys');
     DeleteFile('C:\windows\system32\~.exe/r');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31
    Все сделал.
    Вот логи:
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    -Пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{065E29A7-1A1D-4E86-BF4F-ED3C2A541775}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1B06BB27-FE1A-4660-BA5D-4DF12452DB5A}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4692A0AE-D95A-4CAC-9075-8D0857018214}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7919F4ED-CA2C-47C5-AE07-E4F8CD4760AE}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{86A71651-F502-4D27-979D-8905804474D2}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155
    O17 - HKLM\System\CS3\Services\Tcpip\..\{065E29A7-1A1D-4E86-BF4F-ED3C2A541775}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155
    O17 - HKLM\System\CS4\Services\Tcpip\..\{065E29A7-1A1D-4E86-BF4F-ED3C2A541775}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155
    O20 - Winlogon Notify: WinCtrl32 - C:\windows\
    Нарушения правил при сборе информации для раздела Помогите.


    - Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
    - Не выключено системное восстановление.
    - Не закрыты все программы
    - Не запущен Интернет Эксплорер.
    .


    Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
    Повторите 3 лога в соответствии с правилами.
    Спасибо за понимание.

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31
    Прошу прощения, снова что-то не догледел. Извините, буду стараться быть внимательнее.
    Логи:
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1782
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati7etxx');
     DeleteService('ati1dxxx');
     DeleteFile('C:\windows\System32\Drivers\ati7etxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati1dxxx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('ati7etxx');
    BC_DeleteSvc('ati1dxxx');    
    BC_Activate;
    ExecuteRepair(2 );    
    RebootWindows(true);
    end.
    Повторите логи...

  14. #13
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31
    Чето у меня проблемы с инетом были. Пока не почистил весь кэш и тэмп не мог соединиться.
    Вот логи:
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\Program Files\MyProxy\MyProxy.dll','');
    end.
    пришлите карантин согласно приложения 2 правил

  16. #15
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31
    Карантин выслал. А в логах я так понял уже все хрошо?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от merdok Посмотреть сообщение
    А в логах я так понял уже все хрошо?
    Плохого не видно, насколько все стало хорошо - покажут следующие пару дней

  18. #17
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31
    А насчет пару дней это шутка? Или мне надо что-то ждать?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от merdok Посмотреть сообщение
    А насчет пару дней это шутка? Или мне надо что-то ждать?
    Если Вы понимаете разницу между НЕ ВИДНО и НЕТ, то зачем задаете вопрос ?

  20. #19
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    31

    Тормозит компьютер...

    Здраствуйте.
    Снова вынужден обратиться к вам за помощью.
    Чучуть подтормаживает компьютер, а особенно сильно - когда очищаю корзину, происходит как-бы зависание после очистки. Ну и когда запускаю программу The Bat, она запускаеться ну очень долго и в процесе очень тормозит, когда закрываю тоже зависание. Я ее сносил и снова ставил ничего не помогло. Антивирусами проверял ничего не изменилось. Посмотрите пожалуйса логи все ли там в порядке.
    Заранее благодарен за ответ.

    Логи:
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Ничего зловредного не видать. Службу Bonjour удалите - в разделе Чаво есть описание.
    Попробуйте удалить/отключить ЕСЕТ.
    Windows Firewall активна? Если Да - попробуйте без нее.

  • Уважаемый(ая) merdok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 22
      Последнее сообщение: 22.02.2009, 07:16
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    4. Ответов: 1
      Последнее сообщение: 29.09.2008, 10:38
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 18:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00125 seconds with 23 queries