Показано с 1 по 12 из 12.

Помогите! Не знаю что делать!! (заявка № 29564)

  1. #1
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    6
    Вес репутации
    58

    Exclamation Помогите! Не знаю что делать!!

    Здравствуйте! Компьютер был заражен. Во-первых, в правом нижнем углу рядом со значками антивирусов и предложений автоматических обновлений загруженных программ появился значок в виде красного кружка с крестиком, который переодически выдает: "Your computer is infected! Windows has detected spyware infection!" и т.д. и требует загрузить какую-то программу. Во-вторых, ни касперский, ни AVZ не запускаются. Систему на вирусы проверить не могу. Помогите, пожалуста! С уважением!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    у меня в подписи спец. верисия авз- её запусти

  4. #3
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    6
    Вес репутации
    58
    Все сделал! Вот логи
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    D:\WINDOWS\system32\WinCtrl32.dll
    D:\WINDOWS\system32\WinCtrl32.bak
    D:\WINDOWS\system32\WinCtrl32.dl_
    D:\WINDOWS\system32\Drivers\Swk70.sys
    D:\WINDOWS\System32\drivers\Winek12.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Swk70.sys','');
     QuarantineFile('D:\Program Files\XPSecurityCenter\xpsecuritycenter.exe','');
     QuarantineFile('D:\WINDOWS\services.exe','');
     QuarantineFile('D:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('D:\WINDOWS\system32\karina.dat','');
     QuarantineFile('d:\windows\system32\svchost.exe','');
     QuarantineFile('D:\WINDOWS\system32\_scui.cpl','');
     QuarantineFile('D:\WINDOWS\System32\drivers\Winek12.sys','');
     QuarantineFile('C:\WINDOWS\system32:lzx32.sys:$DATA','');
     QuarantineFile('d:\windows\system32\lphce5wj0e35n.exe','');
     QuarantineFile('d:\windows\system32\buritos.exe','');
     QuarantineFile('D:\WINDOWS\system32\ansit.exe','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Beep.sys','');
     QuarantineFile('D:\WINDOWS\system32\wkuu742.exe','');
     DeleteService('Alerterseclogon');
     DeleteService('AlerterSENS');
     DeleteService('ALGUPS');
     DeleteService('DcomLaunchAlerterSENS');
     DeleteService('DnscacheMSIServer');
     DeleteService('EventlogDnscache');
     DeleteService('FastUserSwitchingCompatibilityHTTPFilterwinmgmt');
     DeleteService('FastUserSwitchingCompatibilityWmiApSrv');
     DeleteService('HTTPFilterwinmgmt');
     DeleteService('HTTPFilterwinmgmtVSS');
     DeleteService('ImapiServiceBITS');
     DeleteService('ImapiServiceSENS');
     DeleteService('NetmanNetDDE');
     DeleteService('Nlasrservice');
     DeleteService('PolicyAgentHidServ');
     DeleteService('RasManClipSrv');
     DeleteService('RDSessMgrSCardSvr');
     DeleteService('RpcSsTermService');
     DeleteService('seclogon Smart');
      DeleteService('ShellHWDetectionwscsvc');
     DeleteService('srserviceW32Time');
     DeleteService('srserviceW32TimeW32Time');
     DeleteService('SSDPSRVmnmsrvc');
     DeleteService('SwPrvAVP');
     DeleteService('TapiSrvThemes');
     DeleteService('ThemesSharedAccess');
     DeleteService('TlntSvrstisvc');
     DeleteService('upnphostPolicyAgent');
     DeleteService('upnphostwinmgmtUPS');
     DeleteService('winmgmtUPS');
     DeleteService('winmgmtUPSNla');
     DeleteService('WmiApSrvhelpsvc');
     DeleteService('WmiApSrvhelpsvcSpooler');
     DeleteService('WmiApSrvWZCSVC');
     DeleteService('WZCSVCFastUserSwitchingCompatibility');
     DeleteService('WZCSVCwinmgmt');
     DeleteService('Swk70');
     DeleteService('tcpsr');
     DeleteService('WDICA');
     DeleteService('Winac11');
     DeleteService('Winae80');
     DeleteService('Winbd13');
     DeleteService('Winbg23');
     DeleteService('Winbn34');
     DeleteService('Wincp78');
     DeleteService('Wincy01');
     DeleteService('Windy01');
     DeleteService('Windy21');
     DeleteService('Windy67');
     DeleteService('Winey13');
     DeleteService('Winfi02');
     DeleteService('Wingc80');
     DeleteService('Winim70');
     DeleteService('Winin45');
     DeleteService('Winis00');
     DeleteService('Winjm71');
     DeleteService('Winkt22');
     DeleteService('Winlr81');
     DeleteService('Winme33');
     DeleteService('Winmm67');
     DeleteService('Winoc57');
     DeleteService('Winod23');
     DeleteService('Winox80');
     DeleteService('Winqe87');
     DeleteService('Winqj12');
     DeleteService('Winql23');
     DeleteService('Winrf26');
     DeleteService('Winrn57');
     DeleteService('Winti43');
     DeleteService('Winub24');
     DeleteService('Winui22');
     DeleteService('Winwq11');
     DeleteService('Winws88');
     DeleteService('Winyc68');
     DeleteFile('d:\windows\system32\buritos.exe');
     DeleteFile('d:\windows\system32\lphce5wj0e35n.exe');
     DeleteFile('C:\WINDOWS\system32:lzx32.sys:$DATA');
     DeleteFile('D:\WINDOWS\System32\drivers\Winek12.sys');
     DeleteFile('D:\WINDOWS\system32\_scui.cpl');
     DeleteFile('D:\WINDOWS\system32\kdmim.exe');
     DeleteFile('D:\WINDOWS\system32\karina.dat');
     DeleteFile('D:\WINDOWS\system32\buritos.exe');
     DeleteFile('D:\WINDOWS\system32\blphce5wj0e35n.scr');
     DeleteFile('D:\WINDOWS\services.exe');
     DeleteFile('D:\Program Files\XPSecurityCenter\xpsecuritycenter.exe');
     DeleteFile('D:\WINDOWS\system32\wkuu742.exe');
     DeleteFile('D:\WINDOWS\system32\ansit.exe');
     DeleteFile('D:\WINDOWS\system32\Drivers\Swk70.sys');
     DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Alerterseclogon');
     BC_DeleteSvc('AlerterSENS');
     BC_DeleteSvc('ALGUPS');
     BC_DeleteSvc('DcomLaunchAlerterSENS');
     BC_DeleteSvc('DnscacheMSIServer');
     BC_DeleteSvc('EventlogDnscache');
     BC_DeleteSvc('FastUserSwitchingCompatibilityHTTPFilterwinmgmt');
     BC_DeleteSvc('FastUserSwitchingCompatibilityWmiApSrv');
     BC_DeleteSvc('HTTPFilterwinmgmt');
     BC_DeleteSvc('HTTPFilterwinmgmtVSS');
     BC_DeleteSvc('ImapiServiceBITS');
     BC_DeleteSvc('ImapiServiceSENS');
     BC_DeleteSvc('NetmanNetDDE');
     BC_DeleteSvc('Nlasrservice');
     BC_DeleteSvc('PolicyAgentHidServ');
     BC_DeleteSvc('RasManClipSrv');
     BC_DeleteSvc('RDSessMgrSCardSvr');
     BC_DeleteSvc('RpcSsTermService');
     BC_DeleteSvc('seclogon Smart');
     BC_DeleteSvc('ShellHWDetectionwscsvc');
     BC_DeleteSvc('srserviceW32Time');
     BC_DeleteSvc('srserviceW32TimeW32Time');
     BC_DeleteSvc('SSDPSRVmnmsrvc');
     BC_DeleteSvc('SwPrvAVP');
     BC_DeleteSvc('TapiSrvThemes');
     BC_DeleteSvc('ThemesSharedAccess');
     BC_DeleteSvc('TlntSvrstisvc');
     BC_DeleteSvc('upnphostPolicyAgent');
     BC_DeleteSvc('upnphostwinmgmtUPS');
     BC_DeleteSvc('winmgmtUPS');
     BC_DeleteSvc('winmgmtUPSNla');
     BC_DeleteSvc('WmiApSrvhelpsvc');
     BC_DeleteSvc('WmiApSrvhelpsvcSpooler');
     BC_DeleteSvc('WmiApSrvWZCSVC');
     BC_DeleteSvc('WZCSVCFastUserSwitchingCompatibility');
     BC_DeleteSvc('WZCSVCwinmgmt');
     BC_DeleteSvc('Swk70');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('WDICA');
     BC_DeleteSvc('Winac11');
     BC_DeleteSvc('Winae80');
     BC_DeleteSvc('Winbd13');
     BC_DeleteSvc('Winbg23');
     BC_DeleteSvc('Winbn34');
     BC_DeleteSvc('Wincp78');
     BC_DeleteSvc('Wincy01');
     BC_DeleteSvc('Windy01');
     BC_DeleteSvc('Windy21');
     BC_DeleteSvc('Windy67');
     BC_DeleteSvc('Winey13');
     BC_DeleteSvc('Winfi02');
     BC_DeleteSvc('Wingc80');
     BC_DeleteSvc('Winim70');
     BC_DeleteSvc('Winin45');
     BC_DeleteSvc('Winis00');
     BC_DeleteSvc('Winjm71');
     BC_DeleteSvc('Winkt22');
     BC_DeleteSvc('Winlr81');
     BC_DeleteSvc('Winme33');
     BC_DeleteSvc('Winmm67');
     BC_DeleteSvc('Winoc57');
     BC_DeleteSvc('Winod23');
     BC_DeleteSvc('Winox80');
     BC_DeleteSvc('Winqe87');
     BC_DeleteSvc('Winqj12');
     BC_DeleteSvc('Winql23');
     BC_DeleteSvc('Winrf26');
     BC_DeleteSvc('Winrn57');
     BC_DeleteSvc('Winti43');
     BC_DeleteSvc('Winub24');
     BC_DeleteSvc('Winui22');
     BC_DeleteSvc('Winwq11');
     BC_DeleteSvc('Winws88');
     BC_DeleteSvc('Winyc68');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    6
    Вес репутации
    58
    Все сделал. Вот новые логи. Только касперский все равно не запускается.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     SetServiceStart('Beep', 4);
     QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('D:\WINDOWS\system32\karina.dat','');
     QuarantineFile('D:\WINDOWS\System32\drivers\Winpd45.sys','');
     QuarantineFile('D:\WINDOWS\System32\drivers\Wingt56.sys','');
     QuarantineFile('D:\WINDOWS\System32\drivers\Windj80.sys','');
     QuarantineFile('D:\WINDOWS\System32\drivers\Winbg32.sys','');
     QuarantineFile('D:\WINDOWS\System32\drivers\Winap56.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Beep.SYS','');
     QuarantineFile('d:\windows\buritos.exe','');
     DeleteService('Winwd67');
     DeleteService('Winpd45');
     DeleteService('Winot01');
     DeleteService('Wingt56');
     DeleteService('Windj80');
     DeleteService('Winbg32');
     DeleteService('Winap56');
     DeleteService('WZCSVCFastUserSwitchingCompatibilityAudioSrv');
     DeleteService('WmiApSrvSchedule');
     DeleteService('WebClientSwPrv');
     DeleteService('seclogonShellHWDetection');
     DeleteService('ImapiServiceBITSFastUserSwitchingCompatibility');
     DeleteService('HTTPFilterwinmgmtVSSSCardSvr');
     DeleteService('HidServmnmsrvc');
     DeleteService('FirebirdGuardianDefaultInstancewinmgmtUPS');
     DeleteFile('d:\windows\buritos.exe');
     DeleteFile('D:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('D:\WINDOWS\System32\drivers\Winap56.sys');
     DeleteFile('D:\WINDOWS\System32\drivers\Winbg32.sys');
     DeleteFile('D:\WINDOWS\System32\drivers\Windj80.sys');
     DeleteFile('D:\WINDOWS\System32\drivers\Wingt56.sys');
     DeleteFile('D:\WINDOWS\System32\drivers\Winot01.sys');
     DeleteFile('D:\WINDOWS\System32\drivers\Winpd45.sys');
     DeleteFile('D:\WINDOWS\System32\drivers\Winwd67.sys');
     DeleteFile('D:\WINDOWS\system32\karina.dat');
     DeleteFile('D:\WINDOWS\system32\ntos.exe');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winwd67');
     BC_DeleteSvc('Winpd45');
     BC_DeleteSvc('Winot01');
     BC_DeleteSvc('Wingt56');
     BC_DeleteSvc('Windj80');
     BC_DeleteSvc('Winbg32');
     BC_DeleteSvc('Winap56'); 
     BC_DeleteSvc('WZCSVCFastUserSwitchingCompatibilityAudioSrv');
     BC_DeleteSvc('WmiApSrvSchedule');
     BC_DeleteSvc('WebClientSwPrv');
     BC_DeleteSvc('seclogonShellHWDetection');
     BC_DeleteSvc('ImapiServiceBITSFastUserSwitchingCompatibility');
     BC_DeleteSvc('HTTPFilterwinmgmtVSSSCardSvr');
     BC_DeleteSvc('HidServmnmsrvc');
     BC_DeleteSvc('FirebirdGuardianDefaultInstancewinmgmtUPS');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    6
    Вес репутации
    58
    Вот высылаю логи!
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    O4 - HKLM\..\Run: [buritos] buritos.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{027E0BF5-0620-487B-93FD-0F0B60BBD41E}: NameServer = 85.255.115.115,85.255.112.231
    O17 - HKLM\System\CCS\Services\Tcpip\..\{05E524AC-85DD-4BC9-9F0E-9634D23BDA22}: NameServer = 85.255.115.115,85.255.112.231
    O17 - HKLM\System\CCS\Services\Tcpip\..\{752A1660-E1BD-41CD-A1DB-B1D8A504FC4F}: NameServer = 85.255.115.115,85.255.112.231
    O17 - HKLM\System\CCS\Services\Tcpip\..\{832236FA-3834-453D-9DE9-4924C3500ABC}: NameServer = 85.255.115.115,85.255.112.231
    O17 - HKLM\System\CCS\Services\Tcpip\..\{955D43C4-904A-42C5-85FD-C0BABC32FEEB}: NameServer = 85.255.115.115,85.255.112.231
    O17 - HKLM\System\CCS\Services\Tcpip\..\{CCAF552E-3087-4B8E-86DC-D51C5F7FE6C1}: NameServer = 85.255.115.115,85.255.112.231
    O17 - HKLM\System\CCS\Services\Tcpip\..\{DEAF50B5-E7B0-4BDC-8C49-CABE6756D720}: NameServer = 85.255.115.115,85.255.112.231
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.115 85.255.112.231
    O20 - AppInit_DLLs: karina.dat
    O20 - Winlogon Notify: WgaLogon - D:\WINDOWS\
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('d:\windows\system32\buritos.exe','');
     DeleteService('Dnscacheose');
     DeleteFile('d:\windows\system32\buritos.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Dnscacheose');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    6
    Вес репутации
    58
    Спасибо! Значок в правом нижнем углу убрался, но касперский все еще не запускается. Вот логи!
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Откройте редактор реестра, пройдите в папку HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в ключе System удалите значение kdmim.exe, закройте редактор реестра.
    Касперского возможно придется переустановить.
    Кроме того - есть версия 2009, ключ от 7-ки подходит.

  12. #11
    Junior Member Репутация
    Регистрация
    27.06.2008
    Сообщений
    6
    Вес репутации
    58
    Большое спасибо! Все теперь работает нормально. С уважением!

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 44
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\windows\\system32\\buritos.exe - Trojan-Downloader.Win32.Agent.aari (DrWEB: Trojan.Fakealert.1071)
      2. \\swk70.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm)
      3. \\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225)
      4. \\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225)
      5. \\winek12.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)


  • Уважаемый(ая) Aard, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. помогите, не знаю что делать
      От Потап в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 23.01.2012, 00:46
    2. Помогите не знаю что делать
      От hmn в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 03.05.2010, 22:57
    3. помогите не знаю что делать
      От Дударев Сергей в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 30.03.2010, 11:45
    4. Помогите не знаю что делать!
      От Тимур17 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 19.08.2009, 22:54
    5. Не знаю что делать? ПОМОГИТЕ
      От Shatl в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 26.04.2006, 08:20

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00101 seconds with 20 queries