Здравствуйте!
Помогите, пжл.
Синий экран с заставкой Warning!Spyware detected on your computer..
CureIt обнаружила:
blphcn51j0epdg.scr Trojan.Fakealert.1228
lphcn51j0epdg.exe Trojan.Packed.619
Логи прилагаю.
Здравствуйте!
Помогите, пжл.
Синий экран с заставкой Warning!Spyware detected on your computer..
CureIt обнаружила:
blphcn51j0epdg.scr Trojan.Fakealert.1228
lphcn51j0epdg.exe Trojan.Packed.619
Логи прилагаю.
Lavasoft Ad-Aware - деинсталлируйте!
Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:
и сделайте им Force Delete.C:\WINDOWS\System32\Drivers\Winfk84.sys
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
После выполнения скрипта компьютер перезагрузится!Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('xmlprovDnscacheRpcSs'); DeleteService('xmlprovAlerter'); DeleteService('WmiThemes'); DeleteService('WmiRemoteAccess'); DeleteService('WmiApSrvNetmanNetlogonHidServ'); DeleteService('WmiApSrvNetmanNetlogon'); DeleteService('W32TimeTapiSrv'); DeleteService('VSSSpoolerNetlogon'); DeleteService('upnphostW32TimeTapiSrv'); DeleteService('ThemesTermServiceWmdmPmSN'); DeleteService('ThemesTermService'); DeleteService('SpoolerNetlogon'); DeleteService('SharedAccessNVSvc'); DeleteService('seclogonSCardSvr'); DeleteService('seclogonmnmsrvcDhcp'); DeleteService('seclogonmnmsrvc'); DeleteService('SCardSvrEventSystemWMPNetworkSvc'); DeleteService('SamSsTlntSvr'); DeleteService('SamSsEhttpSrvNetDDE'); DeleteService('SamSsEhttpSrv'); DeleteService('RasAutoALG'); DeleteService('PolicyAgentSwPrv'); DeleteService('PolicyAgentNetman'); DeleteService('NetmanNetlogon'); DeleteService('lanmanserverSwPrv'); DeleteService('ImapiServiceidsvc'); DeleteService('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetmanCryptSvcupnphostW32TimeTapiSrv'); DeleteService('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetman'); DeleteService('EventSystemWMPNetworkSvcSSDPSRVNetman'); DeleteService('EventSystemWMPNetworkSvcSSDPSRVFontCache3.0.0.0'); DeleteService('EventSystemWMPNetworkSvcSSDPSRV'); DeleteService('EventSystemWMPNetworkSvc'); DeleteService('EventSystemmnmsrvcCiSvc'); DeleteService('EventSystemmnmsrvc'); DeleteService('ERSvcRDSessMgr'); DeleteService('DnscacheRpcSswuauserv'); DeleteService('DnscacheRpcSsHidServ'); DeleteService('DnscacheRpcSs'); DeleteService('DnscacheEventSystemWMPNetworkSvcSSDPSRV'); DeleteService('dmadminseclogonSCardSvr'); DeleteService('CryptSvcupnphostW32TimeTapiSrv'); DeleteService('CryptSvcclr_optimization_v2.0.50727_32'); DeleteService('COMSysAppABBYY.Licensing.FineReader.Professional.9.0'); DeleteService('BITSWmiApSrv'); DeleteService('Winrw62'); DeleteService('Winlq16'); DeleteService('Winch27'); DeleteService('Winfk84'); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfk84.sys',''); QuarantineFile('C:\WINDOWS\system32\blphcn51j0epdg.scr',''); QuarantineFile('C:\WINDOWS\system32\Drivers\uphcleanhlp.sys',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfk84.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winch27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq16.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrw62.sys'); DeleteFile('C:\WINDOWS\system32\blphcn51j0epdg.scr'); DeleteFile('WinCtrl32.dll'); DelWinlogonNotifyByKeyName('WinCtrl32'); DeleteFile('srv.exe'); BC_ImportAll; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_DeleteSvc('xmlprovDnscacheRpcSs'); BC_DeleteSvc('xmlprovAlerter'); BC_DeleteSvc('WmiThemes'); BC_DeleteSvc('WmiRemoteAccess'); BC_DeleteSvc('WmiApSrvNetmanNetlogonHidServ'); BC_DeleteSvc('WmiApSrvNetmanNetlogon'); BC_DeleteSvc('W32TimeTapiSrv'); BC_DeleteSvc('VSSSpoolerNetlogon'); BC_DeleteSvc('upnphostW32TimeTapiSrv'); BC_DeleteSvc('ThemesTermServiceWmdmPmSN'); BC_DeleteSvc('ThemesTermService'); BC_DeleteSvc('SpoolerNetlogon'); BC_DeleteSvc('SharedAccessNVSvc'); BC_DeleteSvc('seclogonSCardSvr'); BC_DeleteSvc('seclogonmnmsrvcDhcp'); BC_DeleteSvc('seclogonmnmsrvc'); BC_DeleteSvc('SCardSvrEventSystemWMPNetworkSvc'); BC_DeleteSvc('SamSsTlntSvr'); BC_DeleteSvc('SamSsEhttpSrvNetDDE'); BC_DeleteSvc('SamSsEhttpSrv'); BC_DeleteSvc('RasAutoALG'); BC_DeleteSvc('PolicyAgentSwPrv'); BC_DeleteSvc('PolicyAgentNetman'); BC_DeleteSvc('NetmanNetlogon'); BC_DeleteSvc('lanmanserverSwPrv'); BC_DeleteSvc('ImapiServiceidsvc'); BC_DeleteSvc('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetmanCryptSvcupnphostW32TimeTapiSrv'); BC_DeleteSvc('helpsvcEventSystemWMPNetworkSvcSSDPSRVNetman'); BC_DeleteSvc('EventSystemWMPNetworkSvcSSDPSRVNetman'); BC_DeleteSvc('EventSystemWMPNetworkSvcSSDPSRVFontCache3.0.0.0'); BC_DeleteSvc('EventSystemWMPNetworkSvcSSDPSRV'); BC_DeleteSvc('EventSystemWMPNetworkSvc'); BC_DeleteSvc('EventSystemmnmsrvcCiSvc'); BC_DeleteSvc('EventSystemmnmsrvc'); BC_DeleteSvc('ERSvcRDSessMgr'); BC_DeleteSvc('DnscacheRpcSswuauserv'); BC_DeleteSvc('DnscacheRpcSsHidServ'); BC_DeleteSvc('DnscacheRpcSs'); BC_DeleteSvc('DnscacheEventSystemWMPNetworkSvcSSDPSRV'); BC_DeleteSvc('dmadminseclogonSCardSvr'); BC_DeleteSvc('CryptSvcupnphostW32TimeTapiSrv'); BC_DeleteSvc('CryptSvcclr_optimization_v2.0.50727_32'); BC_DeleteSvc('COMSysAppABBYY.Licensing.FineReader.Professional.9.0'); BC_DeleteSvc('BITSWmiApSrv'); BC_DeleteSvc('Winrw62'); BC_DeleteSvc('Winlq16'); BC_DeleteSvc('Winch27'); BC_DeleteSvc('Winfk84'); BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29349
3. Повторите логи.
Последний раз редактировалось Aleksandra; 01.09.2008 в 01:39.
Сердце решает кого любить... Судьба решает с кем быть...
Спасибо!
Выполнил.
Появились вкладки "рабочий стол" и "заставка" в свойствах экрана.
Высылаю повторные логи.
пофиксите ...
выполните скрипт ...Код:O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
повторите логи ...Код:begin BC_DeleteSvc('wuauservEventSystemWMPNetworkSvcSSDPSRVFontCache3.0.0.0'); BC_DeleteSvc('SharedAccessTlntSvr'); BC_DeleteSvc('MDMVSSSpoolerNetlogon'); BC_Activate; RebootWindows(true); end.
здравствуйте!
пофиксил.
логи прилагаю.
пуск - выполнить sc delete xmlprovPolicyAgent
hijackthis.log повторите
здравствуйте!
выполнил.
лог повторяю.
ничего плохого ....
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bdp (DrWEB: BackDoor.Bulknet.225)
Уважаемый(ая) quixote, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.