Показано с 1 по 9 из 9.

Trojan.Fakealert.1228 + Trojan.Packed.619 (заявка № 29349)

  1. #1
    Junior Member Репутация
    Регистрация
    31.08.2008
    Сообщений
    16
    Вес репутации
    57

    Exclamation Trojan.Fakealert.1228 + Trojan.Packed.619

    Здравствуйте!

    Помогите, пжл.
    Синий экран с заставкой Warning!Spyware detected on your computer..
    CureIt обнаружила:
    blphcn51j0epdg.scr Trojan.Fakealert.1228
    lphcn51j0epdg.exe Trojan.Packed.619

    Логи прилагаю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Aleksandra
    Регистрация
    13.01.2007
    Сообщений
    7,761
    Вес репутации
    2856
    Lavasoft Ad-Aware - деинсталлируйте!

    Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:

    C:\WINDOWS\System32\Drivers\Winfk84.sys
    и сделайте им Force Delete.

    1. Отключите восстановление системы и антивирус.
    2. Выполните скрипт в AVZ:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('xmlprovDnscacheRpcSs');
     DeleteService('xmlprovAlerter');
     DeleteService('WmiThemes');
     DeleteService('WmiRemoteAccess');
     DeleteService('WmiApSrvNetmanNetlogonHidServ');
     DeleteService('WmiApSrvNetmanNetlogon');
     DeleteService('W32TimeTapiSrv');
     DeleteService('VSSSpoolerNetlogon');
     DeleteService('upnphostW32TimeTapiSrv');
     DeleteService('ThemesTermServiceWmdmPmSN');
     DeleteService('ThemesTermService');
     DeleteService('SpoolerNetlogon');
     DeleteService('SharedAccessNVSvc');
     DeleteService('seclogonSCardSvr');
     DeleteService('seclogonmnmsrvcDhcp');
     DeleteService('seclogonmnmsrvc');
     DeleteService('SCardSvrEventSystemWMPNetworkSvc');
     DeleteService('SamSsTlntSvr');
     DeleteService('SamSsEhttpSrvNetDDE');
     DeleteService('SamSsEhttpSrv');
     DeleteService('RasAutoALG');
     DeleteService('PolicyAgentSwPrv');
     DeleteService('PolicyAgentNetman');
     DeleteService('NetmanNetlogon');
     DeleteService('lanmanserverSwPrv');
     DeleteService('ImapiServiceidsvc');
     DeleteService('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetmanCryptSvcupnphostW32TimeTapiSrv');
     DeleteService('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetman');
     DeleteService('EventSystemWMPNetworkSvcSSDPSRVNetman');
     DeleteService('EventSystemWMPNetworkSvcSSDPSRVFontCache3.0.0.0');
     DeleteService('EventSystemWMPNetworkSvcSSDPSRV');
     DeleteService('EventSystemWMPNetworkSvc');
     DeleteService('EventSystemmnmsrvcCiSvc');
     DeleteService('EventSystemmnmsrvc');
     DeleteService('ERSvcRDSessMgr');
     DeleteService('DnscacheRpcSswuauserv');
     DeleteService('DnscacheRpcSsHidServ');
     DeleteService('DnscacheRpcSs');
     DeleteService('DnscacheEventSystemWMPNetworkSvcSSDPSRV');
     DeleteService('dmadminseclogonSCardSvr');
     DeleteService('CryptSvcupnphostW32TimeTapiSrv');
     DeleteService('CryptSvcclr_optimization_v2.0.50727_32');
     DeleteService('COMSysAppABBYY.Licensing.FineReader.Professional.9.0');
     DeleteService('BITSWmiApSrv');
     DeleteService('Winrw62');
     DeleteService('Winlq16');
     DeleteService('Winch27');
     DeleteService('Winfk84');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk84.sys','');
     QuarantineFile('C:\WINDOWS\system32\blphcn51j0epdg.scr','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfk84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrw62.sys');
     DeleteFile('C:\WINDOWS\system32\blphcn51j0epdg.scr');
     DeleteFile('WinCtrl32.dll');
     DelWinlogonNotifyByKeyName('WinCtrl32');
     DeleteFile('srv.exe');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(5);
     ExecuteRepair(6);
     ExecuteRepair(8);
     BC_DeleteSvc('xmlprovDnscacheRpcSs');
     BC_DeleteSvc('xmlprovAlerter');
     BC_DeleteSvc('WmiThemes');
     BC_DeleteSvc('WmiRemoteAccess');
     BC_DeleteSvc('WmiApSrvNetmanNetlogonHidServ');
     BC_DeleteSvc('WmiApSrvNetmanNetlogon');
     BC_DeleteSvc('W32TimeTapiSrv');
     BC_DeleteSvc('VSSSpoolerNetlogon');
     BC_DeleteSvc('upnphostW32TimeTapiSrv');
     BC_DeleteSvc('ThemesTermServiceWmdmPmSN');
     BC_DeleteSvc('ThemesTermService');
     BC_DeleteSvc('SpoolerNetlogon');
     BC_DeleteSvc('SharedAccessNVSvc');
     BC_DeleteSvc('seclogonSCardSvr');
     BC_DeleteSvc('seclogonmnmsrvcDhcp');
     BC_DeleteSvc('seclogonmnmsrvc');
     BC_DeleteSvc('SCardSvrEventSystemWMPNetworkSvc');
     BC_DeleteSvc('SamSsTlntSvr');
     BC_DeleteSvc('SamSsEhttpSrvNetDDE');
     BC_DeleteSvc('SamSsEhttpSrv');
     BC_DeleteSvc('RasAutoALG');
     BC_DeleteSvc('PolicyAgentSwPrv');
     BC_DeleteSvc('PolicyAgentNetman');
     BC_DeleteSvc('NetmanNetlogon');
     BC_DeleteSvc('lanmanserverSwPrv');
     BC_DeleteSvc('ImapiServiceidsvc');
     BC_DeleteSvc('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetmanCryptSvcupnphostW32TimeTapiSrv');
     BC_DeleteSvc('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetman');
     BC_DeleteSvc('EventSystemWMPNetworkSvcSSDPSRVNetman');
     BC_DeleteSvc('EventSystemWMPNetworkSvcSSDPSRVFontCache3.0.0.0');
     BC_DeleteSvc('EventSystemWMPNetworkSvcSSDPSRV');
     BC_DeleteSvc('EventSystemWMPNetworkSvc');
     BC_DeleteSvc('EventSystemmnmsrvcCiSvc');
     BC_DeleteSvc('EventSystemmnmsrvc');
     BC_DeleteSvc('ERSvcRDSessMgr');
     BC_DeleteSvc('DnscacheRpcSswuauserv');
     BC_DeleteSvc('DnscacheRpcSsHidServ');
     BC_DeleteSvc('DnscacheRpcSs');
     BC_DeleteSvc('DnscacheEventSystemWMPNetworkSvcSSDPSRV');
     BC_DeleteSvc('dmadminseclogonSCardSvr');
     BC_DeleteSvc('CryptSvcupnphostW32TimeTapiSrv');
     BC_DeleteSvc('CryptSvcclr_optimization_v2.0.50727_32');
     BC_DeleteSvc('COMSysAppABBYY.Licensing.FineReader.Professional.9.0');
     BC_DeleteSvc('BITSWmiApSrv');
     BC_DeleteSvc('Winrw62');
     BC_DeleteSvc('Winlq16');
     BC_DeleteSvc('Winch27');
     BC_DeleteSvc('Winfk84');
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится!
    Пришлите карантин согласно приложению 3 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29349

    3. Повторите логи.
    Последний раз редактировалось Aleksandra; 01.09.2008 в 01:39.
    Сердце решает кого любить... Судьба решает с кем быть...

  4. #3
    Junior Member Репутация
    Регистрация
    31.08.2008
    Сообщений
    16
    Вес репутации
    57

    Trojan.Faealert.1228+Trojan.Packed.619

    Спасибо!
    Выполнил.
    Появились вкладки "рабочий стол" и "заставка" в свойствах экрана.
    Высылаю повторные логи.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    выполните скрипт ...
    Код:
    begin
     BC_DeleteSvc('wuauservEventSystemWMPNetworkSvcSSDPSRVFontCache3.0.0.0');
     BC_DeleteSvc('SharedAccessTlntSvr');
     BC_DeleteSvc('MDMVSSSpoolerNetlogon');
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    31.08.2008
    Сообщений
    16
    Вес репутации
    57

    Trojan.Fakealert.1228+Trojan.Packed.619

    здравствуйте!

    пофиксил.

    логи прилагаю.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пуск - выполнить sc delete xmlprovPolicyAgent
    hijackthis.log повторите

  8. #7
    Junior Member Репутация
    Регистрация
    31.08.2008
    Сообщений
    16
    Вес репутации
    57

    Trojan.Fakealert.1228+Trojan.Packed.619

    здравствуйте!

    выполнил.
    лог повторяю.
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    ничего плохого ....

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bdp (DrWEB: BackDoor.Bulknet.225)


  • Уважаемый(ая) quixote, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Fakealert.1228
      От dimkakrm в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 07:31
    2. Ответов: 4
      Последнее сообщение: 14.09.2008, 23:02
    3. Trojan.Fakealert.1228+BackDoor.Bulknet.225+Trojan. Packed.619
      От Rlumiur в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 09.09.2008, 11:11
    4. Trojan.Fakealert.1228 + Trojan.Packed.619
      От gop_D-tox в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.09.2008, 15:00
    5. Trojan.Fakealert.1228
      От dimkakrm в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2008, 11:57

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00501 seconds with 20 queries