Здравствуйте.
У меня на рабочем столе висит "Warning! Spyware Detected on your computer! Install an antivirus or spyware remover to clean your computer"... и прочее
Здравствуйте.
У меня на рабочем столе висит "Warning! Spyware Detected on your computer! Install an antivirus or spyware remover to clean your computer"... и прочее
Скачайте IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\WinCtrl32.dll C:\WINDOWS\system32\WinCtrl32.bak C:\WINDOWS\system32\WinCtrl32.dl_ C:\WINDOWS\System32\drivers\Winsy52.sys C:\WINDOWS\System32\Drivers\Winlr38.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winlr38'); QuarantineFile('C:\WINDOWS\system32\blphccq3j0ea75.scr',''); QuarantineFile('C:\WINDOWS\system32\oembios.exe',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlr38.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\Winsy52.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winsy52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlr38.sys'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\oembios.exe'); DeleteFile('C:\WINDOWS\system32\blphccq3j0ea75.scr'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winlr38'); BC_Activate; RebootWindows(true); end.
- Выполните скрипт 2
После перезагрузки :Код:begin executerepair(5); executerepair(6); executerepair(8); executerepair(9); executerepair(11); executerepair(16); executerepair(17); RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Всё сделал.
Вот логи.
Карантин отправил:
Файл сохранён как 080828_073934_virus_48b69c8673313.zip
Размер файла 238956
MD5 1e9daf4952e0882afebd031c3816a7b9
У меня на втором компе (соединены по локалке) та же история.
Нужно новую тему открывать?
IceSword , поищите и скопируйте файлы:
Знак * - маска, т.е. могут быть любые имена/расширения.Код:C:\WINDOWS\system32\WinCtrl32*.* C:\WINDOWS\system32\WinDat.cab C:\WINDOWS\System32\drivers\Winsy52.sys
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт 1
После перезагрузки :Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winlr38'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy52.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Winsy52.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winlr38'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
После выполнения скрипта и перезагрузки, все поновой. Опять - Warning! Spyware Detected.
Может я чего нето сделал.
Повторил процедуру.
нашел и удалил... но не все
извиняюсь я не точно выразился... нашел не все, а те что нашел удалил
Добавлено через 1 минуту
еще хотел упомянуть... у меня тут в сети два компа и на обоих одно и тоже (про второй я вот - http://virusinfo.info/showthread.php?t=29155) может они по сети друг от друга хапают это дело?
Последний раз редактировалось rezsky; 28.08.2008 в 18:11. Причина: Добавлено
хорошо разединю...
IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\System32\Drivers\Winsy52.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
- Выполните скриптКод:O4 - HKLM\..\Run: [lphccq3j0ea75] C:\WINDOWS\system32\lphccq3j0ea75.exe O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winsy52'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy52.sys',''); DeleteFile('C:\WINDOWS\system32\blphccq3j0ea75.scr'); DeleteFile('C:\WINDOWS\system32\lphccq3j0ea75.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsy52.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('Winsy52'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Спасибо. Сейцас я уже в другом месте. Завтра все сделаю. А что с моей второй темой?
http://virusinfo.info/showthread.php?t=29155
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\microsoft common\\wuauclt.exe - Trojan-Downloader.Win32.Agent.adtj (DrWEB: Win32.HLLW.Autoruner.2634)
- c:\\windows\\system32\\oembios.exe - Trojan-Spy.Win32.Zbot.ekg (DrWEB: Trojan.Proxy.3854)
Уважаемый(ая) rezsky, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.