Показано с 1 по 17 из 17.

Варнинг... Спайвер детектет... (заявка № 29098)

  1. #1
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62

    Exclamation Варнинг... Спайвер детектет...

    Заставка на рабочем толе + заблоченные вкладки у свойств экрана..
    Ума не приложу откуда взял.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    На время выполнения скрипта отключите интернет и антивирус.
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    ClearQuarantine;
     QuarantineFile('C:\WIN_REZ\System32\drivers\Wintq61.sys','');
     QuarantineFile('C:\WIN_REZ\system32\WinCtrl32.dll','');
     DeleteFile('C:\WIN_REZ\system32\WinCtrl32.dll');
     DeleteFile('C:\WIN_REZ\System32\drivers\Wintq61.sys');
     DeleteFile('C:\WIN_REZ\system32\blphc3rmj0ee2v.scr');
     DeleteFile('C:\System Volume Information\_restore{2A2809C5-C50A-4956-8419-171CB7DF5CD2}\RP112\A0023959.dll');
    BC_ImportALL;
    ExecuteSysClean;
     BC_DeleteSvc('Winth71');
     BC_DeleteSvc('Winaj15');
     BC_DeleteSvc('WZCSVCSpooler');
     BC_DeleteSvc('WZCSVCdmserverProtectedStorage');
     BC_DeleteSvc('WZCSVCdmserverHTTPFilter');
     BC_DeleteSvc('WZCSVCdmserver');
     BC_DeleteSvc('wuauservNetmanHTTPFilter');
     BC_DeleteSvc('wuauservNetmanFastUserSwitchingCompatibility');
     BC_DeleteSvc('wuauservNetmanEventlogClipSrvDhcpProtectedStorage');
     BC_DeleteSvc( 'wuauservNetmanEventlogClipSrvDhcpAudioSrvERSvcmnmsrvcEventlogClipSrvProtectedStorage');
     BC_DeleteSvc( 'wuauservNetmanEventlogClipSrvDhcpAudioSrv');
     BC_DeleteSvc('wuauservNetmanEventlogClipSrvDhcp');
     BC_DeleteSvc('wuauservNetmanEventlogClipSrv');
     BC_DeleteSvc('wuauservNetman');
     BC_DeleteSvc('wuauservEventlog');
     BC_DeleteSvc( 'wscsvcRpcSsCryptSvcSysmonLogRpcLocator');
     BC_DeleteSvc('wscsvcRpcSsCryptSvc');
     BC_DeleteSvc('wscsvcRpcSsCOMSysApp');
     BC_DeleteSvc('wscsvcRpcSs');
     BC_DeleteSvc('wscsvcNetDDE');
     BC_DeleteSvc('WmiApSrvhelpsvc');
     BC_DeleteSvc( 'WebClientWmiSamSsNetDDEMSIServeraspnet_state');
     BC_DeleteSvc('WebClientWmiSamSs');
     BC_DeleteSvc('WebClientWmi');
     BC_DeleteSvc('WebClientProtectedStorage');
     BC_DeleteSvc('VSSdmadminRasMan');
     BC_DeleteSvc('upnphostRpcSs');
     BC_DeleteSvc('TlntSvr Smart');
     BC_DeleteSvc( 'SysmonLogRpcLocatorRemoteAccessNetDDEdsdmPolicyAgent');
     BC_DeleteSvc('SysmonLogRpcLocator');
     BC_DeleteSvc('SSDPSRVseclogonxmlprov');
     BC_DeleteSvc('srserviceNetDDEdsdmPolicyAgent');
     BC_DeleteSvc( 'SENSEventlogClipSrvERSvcmnmsrvcEventlogClipSrvRSVPRasMan');
     BC_DeleteSvc('SENSEventlogClipSrv');
     BC_DeleteSvc('seclogonxmlprov');
     BC_DeleteSvc( 'seclogonRasManCOMSysAppATISSDPSRVWmi');
     BC_DeleteSvc('seclogonRasManCOMSysApp');
     BC_DeleteSvc('ScheduleDcomLaunch');
     BC_DeleteSvc( 'SCardSvrWebClientWmiSamSsNetDDEMSIServeraspnet_state');
     BC_DeleteSvc( 'RSVPRemoteAccessNetDDEdsdmPolicyAgent');
     BC_DeleteSvc('RSVPRasMan');
     BC_DeleteSvc('RSVPCOMSysAppShellHWDetection');
     BC_DeleteSvc('RSVPCOMSysApp');
     BC_DeleteSvc('RpcSsSENS');
     BC_DeleteSvc('RemoteAccessSSDPSRV');
     BC_DeleteSvc('RemoteAccessRasAuto');
     BC_DeleteSvc('RemoteAccessNetDDEdsdmPolicyAgent');
     BC_DeleteSvc('RasManCOMSysApp');
     BC_DeleteSvc('RasManAlerterHidServ');
     BC_DeleteSvc('ProtectedStorageAlerterSSDPSRV');
     BC_DeleteSvc('ProtectedStorage Smart');
     BC_DeleteSvc('PolicyAgentShellHWDetection');
     BC_DeleteSvc('NetDDERSVPRasMan');
     BC_DeleteSvc('NetDDEMSIServeraspnet_state');
     BC_DeleteSvc('NetDDEdsdmPolicyAgentHTTPFilter');
     BC_DeleteSvc('NetDDEdsdmPolicyAgent');
     BC_DeleteSvc('MSIServeraspnet_stateRSVPRasMan');
     BC_DeleteSvc('MSIServeraspnet_state');
     BC_DeleteSvc('mnmsrvcEventlogClipSrv');
     BC_DeleteSvc( 'EventlogClipSrvwuauservNetmanEventlogClipSrvDhcpAudioSrvERSvcmnmsrvcEventlogClipSrvProtectedStorage');
     BC_DeleteSvc('EventlogClipSrv');
     BC_DeleteSvc('ERSvcW32Time');
     BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvRSVPRasMan');
     BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPSwscsvcNetDDE');
     BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPS');
     BC_DeleteSvc( 'ERSvcmnmsrvcEventlogClipSrvProtectedStorage');
     BC_DeleteSvc('ERSvcmnmsrvcEventlogClipSrv');
     BC_DeleteSvc('ERSvcATISSDPSRVWmiERSvc');
     BC_DeleteSvc('ERSvc HotKey Poller');
     BC_DeleteSvc('dmadminWmi');
     BC_DeleteSvc('dmadminRasManShellHWDetection');
     BC_DeleteSvc('dmadminRasMan');
     BC_DeleteSvc('dmadminDhcp');
     BC_DeleteSvc('DcomLaunchstisvcSamSsTermService');
     BC_DeleteSvc('DcomLaunchstisvcSamSs');
     BC_DeleteSvc( 'DcomLaunchstisvcNetDDEdsdmPolicyAgent');
     BC_DeleteSvc('DcomLaunchstisvcAudioSrv');
     BC_DeleteSvc('DcomLaunchstisvc');
     BC_DeleteSvc('COMSysAppAlerter');
     BC_DeleteSvc('clr_optimization_v2.0.50727_32VSS');
     BC_DeleteSvc('AudioSrvLmHosts');
     BC_DeleteSvc('ATISSDPSRVWmiERSvc');
     BC_DeleteSvc('ATISSDPSRVWmi');
     BC_DeleteSvc('ATISSDPSRV');
     BC_DeleteSvc('AtiRasManAlerterHidServ');
     BC_DeleteSvc( 'ATIAlerterHidServFastUserSwitchingCompatibility');
     BC_DeleteSvc('AlerterSSDPSRV');
     BC_DeleteSvc( 'AlerterHidServFastUserSwitchingCompatibility');
     BC_DeleteSvc('AlerterHidServ');
    BC_Activate;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=29098).
    Сделайте новые логи.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62
    Выполнил, прислал, выложил.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WIN_REZ\system32\WinCtrl32.dll
    C:\WIN_REZ\system32\WinCtrl32.bak
    C:\WIN_REZ\system32\WinCtrl32.dl_
    C:\WIN_REZ\system32\Drivers\Wintq61.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('WmdmPmSNWZCSVC');
    DeleteService('ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPSBrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent');
     DeleteService('BrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent');
     QuarantineFile('C:\WIN_REZ\system32\Drivers\Wintq61.sys','');
     QuarantineFile('C:\WIN_REZ\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WIN_REZ\system32\lphc3rmj0ee2v.exe','');
     QuarantineFile('C:\WIN_REZ\system32\blphc3rmj0ee2v.scr','');
     DeleteFile('C:\WIN_REZ\system32\blphc3rmj0ee2v.scr');
     DeleteFile('C:\WIN_REZ\system32\lphc3rmj0ee2v.exe');
     DeleteFile('C:\WIN_REZ\system32\WinCtrl32.dll');
     DeleteFile('C:\WIN_REZ\system32\Drivers\Wintq61.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('WmdmPmSNWZCSVC');
    BC_DeleteSvc('ERSvcmnmsrvcEventlogClipSrvProtectedStorageUPSBrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent');
    BC_DeleteSvc('BrowserRSVPRemoteAccessNetDDEdsdmPolicyAgent');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62
    баковский файл не нашел
    остальное готово.
    систему почистил СиКлинером
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Посмотрите, есть ли у Вас файл
    Код:
    C:\WIN_REZ\system32\WinDat.cab
    Если найдете - пришлите по правилам (приложение 3), потом удалите его.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\System Volume Information\_restore{2A2809C5-C50A-4956-8419-171CB7DF5CD2}\RP98\A0022536.exe','');
     DeleteFile('C:\System Volume Information\_restore{2A2809C5-C50A-4956-8419-171CB7DF5CD2}\RP98\A0022536.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи начиная от п.10 правил.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62
    C:\WIN_REZ\system32\WinDat.cab - не нашел
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах чисто. Какие еще проблемы есть?

  10. #9
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62
    заблокированые вкладки в настройках рабочего стола, и скрин с "варнингом" сидит под обоями крепко

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Константин Д. Посмотреть сообщение
    заблокированые вкладки в настройках рабочего стола, и скрин с "варнингом" сидит под обоями крепко
    - Выполните скрипт
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RebootWindows(true);
    end.
    После перезагрузки проинформируйте о состоянии ПК.

  12. #11
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62
    вкладки вернулись на место
    при загрузке винды, мельком выскакивает этот варнинг, и тут же пропадает под обоями.
    в остальном всё супер

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Попробуйте почистить реестр CCleaner.
    Еще есть одна дурная тулза, которая по именам ищет: Malwaerbytes Antimalware. Попробуйте еще ею просканить.

  14. #13
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62
    вроде всё
    большое спасибо за помощь

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Константин Д. Посмотреть сообщение
    вроде всё
    большое спасибо за помощь
    Может скажете, что конкретно помогло? Лог Malwarebytes, если с ним работали, прикрепите к сообщению.
    Спасибо.

  16. #15
    Junior Member Репутация
    Регистрация
    13.04.2007
    Сообщений
    21
    Вес репутации
    62
    сначала просто Сиклинером по рееестру прошелся, чего то он там удалил - скрин пропал
    сейчас прошелся ещё малаваром, лог прикрепляю.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Файлы:
    Код:
    C:\WIN_REZ\system32\phc3rmj0ee2v.bmp 
    C:\WIN_REZ\Temp\.tt3.tmp 
    C:\WIN_REZ\Temp\.tt4.tmp 
    C:\WIN_REZ\Temp\.tt5.tmp
    C:\WIN_REZ\Temp\.tt6.tmp
    C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt2.tmp
    C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt3.tmp
    C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt4.tmp
    C:\Documents and Settings\Äîì.HOME-FCBA2E1C2F\Local Settings\Temp\.tt6.tmp
    Пришлите по правилам, плиз

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 8
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\win_rez\\system32\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.azm (DrWEB: Trojan.DownLoad.3503)
      2. c:\\win_rez\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azm (DrWEB: Trojan.DownLoad.3503)


  • Уважаемый(ая) Константин Д., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Варнинг, win32/adware...win32/privacy m64
      От MadMike в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 01.09.2008, 12:40
    2. надпись на рабочем столе варнинг вирусы
      От MasterAlexey в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.07.2008, 09:29
    3. надпись на рабочем столе варнинг вирусы комп 2
      От MasterAlexey в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 14.07.2008, 09:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00270 seconds with 18 queries