Какой то вирус

[Mistikkk]

Помогите разобраться выходит заставка с надписью "Warning:Spyware threat has been detected on your PC. Your computer has several fatal errors due to spyware activity. It is strongly recommend to install an antispyware software to close all security vulnerabilities. Antispy software helps protect your PC against spyware and other security threats. CLICK HERE TO SCAN YOUR PC FOR SPYWARE..." DrWeb ничего не видит, но периодически или после перезагрузки появляется табличка мол файл заражен, я их все удаляю, но их меньше не становится

[Rene-gad]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\uesiuqcr.exe','');
 QuarantineFile('C:\DOCUME~1\Mistik\LOCALS~1\Temp\svchost.exe','');
 DeleteService('Network Driver Interface');
 QuarantineFile('C:\WINDOWS\system32\rqRJCSMd.dll','');
 QuarantineFile('C:\WINDOWS\system32\getsn32.dll','');
 QuarantineFile('C:\WINDOWS\system32\pmnnMfdb.dll','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 QuarantineFile('c:\windows\system32\uesiuqcr.exe','');
 DelBHO('{8C3D36AF-1380-4DDA-AAE5-1CB7075E5C68}');
 DelBHO('{2D9F1530-0B38-4DCB-A90A-CECD559F3514}');
 DeleteFile('c:\windows\system32\uesiuqcr.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\pmnnMfdb.dll');
 DeleteFile('C:\WINDOWS\system32\getsn32.dll');
 DeleteFile('C:\WINDOWS\system32\rqRJCSMd.dll');
 DeleteFile('C:\DOCUME~1\Mistik\LOCALS~1\Temp\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\uesiuqcr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Mistikkk]

Только диспетчер задач отключен =(
А заставка с надписями исчезла

Поче му то вылазит при загрузки файлов
Mistikkk, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

Вот, карантин тоже прислал 080907_090136_virus_48c3dec0b7c12.zip
Извените что так долго, но только со второго раза получилось отчет создался

[V_Bond]

очистите временніе интернет файлі , через свойства обозревателя
віполните скрипт...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{BF61879A-B149-4D67-A060-A2E5549F24A0}');
 DelBHO('{1A75F101-126E-46A3-97B1-91A96D161C15}');
 DeleteFile('C:\WINDOWS\system32\rqRJCSMd.dll');
 DeleteFile('C:\WINDOWS\system32\pmnnMfdb.dll');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
  DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
BC_ImportDeletedList;
ExecuteRepair(11);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

[Mistikkk]

Вот логи новые
А вот название нового карантина 080907_101321_virus_48c3ef91c8bad.zip
Диспетчер задачь появился, вот только в колонке Имя пользователя ничего не отображается, кроме Бстродействия системы, у нее стоит SYSTEM, а на всех остальных процессах пусто

Сегодня больше я ответить не смогу, напишите пожалуйста что нужно делать дальше
Огромное спасибо

[Rene-gad]

Для тех, кто в бронепоезде - еще раз:
- Очистите темп-папки, кэш проводников и корзину. И эту операцию повторить для всех учеток.
Удалите WebHancer.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('bonjour service');
 QuarantineFile('C:\WINDOWS\twain_32\S12U12K\remove.exe','');
 QuarantineFile('C:\Program Files\webHancer\programs\whiehlpr.dll','');
 QuarantineFile('C:\Program Files\webHancer\Programs\webhdll.dll','');
 QuarantineFile('c:\program files\webhancer\programs\webhdll.dll','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
 DeleteFile('c:\program files\webhancer\programs\webhdll.dll');
 DeleteFile('C:\Program Files\webHancer\Programs\webhdll.dll');
 DeleteFile('C:\Program Files\webHancer\programs\whiehlpr.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Mistikkk]

И в IE и в Opere все cookie, кэш и.д. удалил, так как написано, а также через программу avz удалил папку темп и че то еще.
Теперь появились ряд проблем:
1) В диспетчере задач напротив процесса не отображается Имя пользователя;
2) При запуске Windows, а так же при выходе из системы вылазит окошко. В заголовке окна квадратики (мол шрифт не распознался), а в самом окне написано то квадратики,то квадратики+C:\windows\system32, то квадратики+Инициалы.
3) Не работает кнопка смена пользователя
Вроде все
Вот имя карантина 080908_044801_virus_48c4f4d12ec9c.zip

[Rene-gad]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

O20 - Winlogon Notify: rqRJCSMd - rqRJCSMd.dll (file missing)

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Mistikkk]

Карантин 080908_063202_virus_48c50d32afba8.zip за 2008.09.08
А можно ли решить как-нибудь проблему перечисленные выше?

[Rene-gad]

А можно ли решить как-нибудь проблему перечисленные выше?

Насчет смены пользователя
Пуск/Выполнить ...

Код:

net start FastUserSwitchingCompatibilty

, нажать ВВОД.
В службах проверить режим запуска.
Вы msconfig ом службы отключали? Если Да - восстановите, как было.
Насчет остального - посовещаюсь с коллегами.

[Mistikkk]

В msconfig я ничего не трогал

Добавлено через 2 минуты

Спасибо огромное Вашему коллективу
Эти проблемы не очень то и мешают. А если обновить Виндоус ошибки эти должны исправиться или есть шанс что останется все как есть?

[Rene-gad]

А если обновить Виндоус ошибки эти должны исправиться или есть шанс что останется все как есть?

Установить обновления всегда неплохо, иногда это даже испарвляет системные ошибки. С WinNT4 - даже очень часто бывало: переставишь последний сервис пак (их 6 было) - и помогало.

[kps]

Еще попробуйте вот этот скрипт:

Код:

begin
ExecuteRepair(7);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

[Mistikkk]

Во теперь не вылазит окошко при запуске Виндоус, толи из-за

net start FastUserSwitchingCompatibilty

то ли из за скрипта

Все теперь понял в чем дело то было, почему то Служба терминалов была выключина, как только включил, сразуже и появились Имена пользователей у процессов и заработала кнопка смена пользователей

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 5
• Обработано файлов: 191
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\webhancer\\programs\\webhdll.dll - not-a-virus:AdWare.Win32.WebHancer.390 (DrWEB: Adware.WebHancer)
  2. c:\\program files\\webhancer\\programs\\whagent.exe - not-a-virus:AdWare.Win32.WebHancer.f (DrWEB: Adware.WebHancer.80)
  3. c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1015\\svchost.exe - Backdoor.Win32.Agent.rei (DrWEB: Trojan.DownLoad.4550)
  4. c:\\windows\\system32\\getsn32.dll - not-a-virus:AdWare.Win32.BHO.cvf (DrWEB: Trojan.Click.20225)
  5. c:\\windows\\system32\\pmnnmfdb.dll - Trojan.Win32.Monder.mgr (DrWEB: Trojan.Virtumod.505)
  6. c:\\windows\\system32\\rqrjcsmd.dll - Trojan.Win32.Monderb.fqc (DrWEB: Trojan.Virtumod.44
  7. c:\\windows\\system32\\uesiuqcr.exe - not-a-virus:AdWare.Win32.BHO.dhp (DrWEB: archive: Trojan.Click.20225)