При загрузке компьютера на рабочем столе появилась картинка, в которой содержится следующая надпись:
Warning!
Spyware detected on your computer!
С уважением, Diana.
При загрузке компьютера на рабочем столе появилась картинка, в которой содержится следующая надпись:
Warning!
Spyware detected on your computer!
С уважением, Diana.
скачайте C:\WINDOWS\System32\Drivers\Winjq52.sys - force delete
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Winjq52'); BC_DeleteSvc('WudfSvcdmserver'); BC_DeleteSvc('winmgmtTermService'); BC_DeleteSvc('winmgmtMSIServer'); BC_DeleteSvc('W32TimeNla'); BC_DeleteSvc('TermServiceWmiApSrv'); BC_DeleteSvc('TapiSrvBrowserLVPrcSrv'); BC_DeleteSvc('TapiSrvBrowser'); BC_DeleteSvc('ShellHWDetectionMSDTC'); BC_DeleteSvc('SENSusnjsvc'); BC_DeleteSvc('ScheduleTapiSrvBrowser'); BC_DeleteSvc('RpcLocatorWebClient'); BC_DeleteSvc('ProtectedStorageNla'); BC_DeleteSvc('PolicyAgentxmlprov'); BC_DeleteSvc('PolicyAgentDnscache'); BC_DeleteSvc('NetDDEdsdmTermService'); BC_DeleteSvc('MSIServerNetDDEdsdm'); BC_DeleteSvc('LVPrcSrvupnphost'); BC_DeleteSvc('HidServAppMgmtDhcp'); BC_DeleteSvc('gusvcose'); BC_DeleteSvc('EventSystemRpcSs'); BC_DeleteSvc('DnscacheNetman'); BC_DeleteSvc('DhcpSSDPSRV'); BC_DeleteSvc('DhcpBrowser'); BC_DeleteSvc('COMSysAppSSDPSRV'); BC_DeleteSvc('clr_optimization_v2.0.50727_32TermServiceSpooler'); BC_DeleteSvc('clr_optimization_v2.0.50727_32TermService'); BC_DeleteSvc('CiSvcTapiSrv'); BC_DeleteSvc('AppMgmtDhcp'); BC_DeleteSvc('WmdmPmSNPolicyAgentxmlprov'); QuarantineFile('C:\WINDOWS\system32\Drivers\Winjq52.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\system32\lphc3s5j0e93n.exe',''); QuarantineFile('c:\windows\system32\lphc3s5j0e93n.exe',''); DeleteFile('c:\windows\system32\lphc3s5j0e93n.exe'); DeleteFile('C:\WINDOWS\system32\lphc3s5j0e93n.exe'); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\Winjq52.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winjq52.sys'); DeleteFile('C:\WINDOWS\system32\blphc3s5j0e93n.scr'); DeleteFile('WinCtrl32.dll'); BC_ImportDeletedList; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Надеюсь, правильно поняла, то, что от меня требовалось сделать:
Закачала файл, согласно приложению 3.
Прикрепляю новые файлы.
С уважением, Diana.
1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
2. В карточке Автозапуск - Все отключить
3. В карточке Службы - Службы Windows не показывать, остальные отключить.
4. Перегрузить систему, далее по тексту.
IceSword , поищите и скопируйте файлы:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).Код:C:\WINDOWS\system32\Drivers\Winjq52.sys
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('WudfSvcdmserver'); DeleteService('WmdmPmSNPolicyAgentxmlprovCiSvcTapiSrvProtectedStorageNla'); DeleteService('WmdmPmSNPolicyAgentxmlprov'); DeleteService('winmgmtTermService'); DeleteService('winmgmtMSIServer'); DeleteService('W32TimeNla'); DeleteService('TermServiceWmiApSrv'); DeleteService('TapiSrvBrowserLVPrcSrv'); DeleteService('TapiSrvBrowser'); DeleteService('ShellHWDetectionMSDTC'); DeleteService('SENSusnjsvc'); DeleteService('ScheduleTapiSrvBrowser'); DeleteService('RpcLocatorWebClient'); DeleteService('ProtectedStorageNla'); DeleteService('PolicyAgentxmlprov'); DeleteService('PolicyAgentDnscache'); DeleteService('NetDDEdsdmTermService'); DeleteService('MSIServerNetDDEdsdm'); DeleteService('LVPrcSrvupnphost'); DeleteService('HidServAppMgmtDhcp'); DeleteService('gusvcose'); DeleteService('gusvc'); DeleteService('EventSystemRpcSs'); DeleteService('DnscacheNetman'); DeleteService('DhcpSSDPSRV'); DeleteService('DhcpBrowser'); DeleteService('COMSysAppSSDPSRV'); DeleteService('clr_optimization_v2.0.50727_32TermServiceSpooler'); DeleteService('clr_optimization_v2.0.50727_32TermService'); DeleteService('ClipSrvLmHosts'); DeleteService('CiSvcTapiSrvProtectedStorageNlaDcomLaunch'); DeleteService('CiSvcTapiSrvProtectedStorageNla'); DeleteService('CiSvcTapiSrv'); DeleteService('AppMgmtDhcp'); QuarantineFile('C:\WINDOWS\system32\Drivers\Winjq52.sys',''); QuarantineFile('C:\WINDOWS\system32\lphc3s5j0e93n.exe',''); QuarantineFile('C:\WINDOWS\system32\blphc3s5j0e93n.scr',''); DeleteFile('C:\WINDOWS\system32\blphc3s5j0e93n.scr'); DeleteFile('C:\WINDOWS\system32\lphc3s5j0e93n.exe'); DeleteFile('C:\WINDOWS\system32\Drivers\Winjq52.sys'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WudfSvcdmserver'); BC_DeleteSvc('WmdmPmSNPolicyAgentxmlprovCiSvcTapiSrvProtectedStorageNla'); BC_DeleteSvc('WmdmPmSNPolicyAgentxmlprov'); BC_DeleteSvc('winmgmtTermService'); BC_DeleteSvc('winmgmtMSIServer'); BC_DeleteSvc('W32TimeNla'); BC_DeleteSvc('TermServiceWmiApSrv'); BC_DeleteSvc('TapiSrvBrowserLVPrcSrv'); BC_DeleteSvc('TapiSrvBrowser'); BC_DeleteSvc('ShellHWDetectionMSDTC'); BC_DeleteSvc('SENSusnjsvc'); BC_DeleteSvc('ScheduleTapiSrvBrowser'); BC_DeleteSvc('RpcLocatorWebClient'); BC_DeleteSvc('ProtectedStorageNla'); BC_DeleteSvc('PolicyAgentxmlprov'); BC_DeleteSvc('PolicyAgentDnscache'); BC_DeleteSvc('NetDDEdsdmTermService'); BC_DeleteSvc('MSIServerNetDDEdsdm'); BC_DeleteSvc('LVPrcSrvupnphost'); BC_DeleteSvc('HidServAppMgmtDhcp'); BC_DeleteSvc('gusvcose'); BC_DeleteSvc('gusvc'); BC_DeleteSvc('EventSystemRpcSs'); BC_DeleteSvc('DnscacheNetman'); BC_DeleteSvc('DhcpSSDPSRV'); BC_DeleteSvc('DhcpBrowser'); BC_DeleteSvc('COMSysAppSSDPSRV'); BC_DeleteSvc('clr_optimization_v2.0.50727_32TermServiceSpooler'); BC_DeleteSvc('clr_optimization_v2.0.50727_32TermService'); BC_DeleteSvc('ClipSrvLmHosts'); BC_DeleteSvc('CiSvcTapiSrvProtectedStorageNlaDcomLaunch'); BC_DeleteSvc('CiSvcTapiSrvProtectedStorageNla'); BC_DeleteSvc('CiSvcTapiSrv'); BC_DeleteSvc('AppMgmtDhcp'); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Di_1982, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.