-
Junior Member
- Вес репутации
- 58
Какой то вирус
Помогите разобраться выходит заставка с надписью "Warning:Spyware threat has been detected on your PC. Your computer has several fatal errors due to spyware activity. It is strongly recommend to install an antispyware software to close all security vulnerabilities. Antispy software helps protect your PC against spyware and other security threats. CLICK HERE TO SCAN YOUR PC FOR SPYWARE..." DrWeb ничего не видит, но периодически или после перезагрузки появляется табличка мол файл заражен, я их все удаляю, но их меньше не становится
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\uesiuqcr.exe','');
QuarantineFile('C:\DOCUME~1\Mistik\LOCALS~1\Temp\svchost.exe','');
DeleteService('Network Driver Interface');
QuarantineFile('C:\WINDOWS\system32\rqRJCSMd.dll','');
QuarantineFile('C:\WINDOWS\system32\getsn32.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnnMfdb.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
QuarantineFile('c:\windows\system32\uesiuqcr.exe','');
DelBHO('{8C3D36AF-1380-4DDA-AAE5-1CB7075E5C68}');
DelBHO('{2D9F1530-0B38-4DCB-A90A-CECD559F3514}');
DeleteFile('c:\windows\system32\uesiuqcr.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('C:\WINDOWS\system32\pmnnMfdb.dll');
DeleteFile('C:\WINDOWS\system32\getsn32.dll');
DeleteFile('C:\WINDOWS\system32\rqRJCSMd.dll');
DeleteFile('C:\DOCUME~1\Mistik\LOCALS~1\Temp\svchost.exe');
DeleteFile('C:\WINDOWS\system32\uesiuqcr.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Только диспетчер задач отключен =(
А заставка с надписями исчезла
Поче му то вылазит при загрузки файлов
Mistikkk, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
Вот, карантин тоже прислал 080907_090136_virus_48c3dec0b7c12.zip
Извените что так долго, но только со второго раза получилось отчет создался
Последний раз редактировалось Rene-gad; 07.09.2008 в 20:01.
-
очистите временніе интернет файлі , через свойства обозревателя
віполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{BF61879A-B149-4D67-A060-A2E5549F24A0}');
DelBHO('{1A75F101-126E-46A3-97B1-91A96D161C15}');
DeleteFile('C:\WINDOWS\system32\rqRJCSMd.dll');
DeleteFile('C:\WINDOWS\system32\pmnnMfdb.dll');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DelCLSID('08B0E5C0-4FCB-11CF-AAX5-00401C608512');
BC_ImportDeletedList;
ExecuteRepair(11);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
-
-
Junior Member
- Вес репутации
- 58
Вот
Вот логи новые
А вот название нового карантина 080907_101321_virus_48c3ef91c8bad.zip
Диспетчер задачь появился, вот только в колонке Имя пользователя ничего не отображается, кроме Бстродействия системы, у нее стоит SYSTEM, а на всех остальных процессах пусто
Сегодня больше я ответить не смогу, напишите пожалуйста что нужно делать дальше
Огромное спасибо
Последний раз редактировалось Mistikkk; 07.09.2008 в 19:26.
-
Для тех, кто в бронепоезде - еще раз:
- Очистите темп-папки, кэш проводников и корзину. И эту операцию повторить для всех учеток.
Удалите WebHancer.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('bonjour service');
QuarantineFile('C:\WINDOWS\twain_32\S12U12K\remove.exe','');
QuarantineFile('C:\Program Files\webHancer\programs\whiehlpr.dll','');
QuarantineFile('C:\Program Files\webHancer\Programs\webhdll.dll','');
QuarantineFile('c:\program files\webhancer\programs\webhdll.dll','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
DeleteFile('c:\program files\webhancer\programs\webhdll.dll');
DeleteFile('C:\Program Files\webHancer\Programs\webhdll.dll');
DeleteFile('C:\Program Files\webHancer\programs\whiehlpr.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Все очистел
И в IE и в Opere все cookie, кэш и.д. удалил, так как написано, а также через программу avz удалил папку темп и че то еще.
Теперь появились ряд проблем:
1) В диспетчере задач напротив процесса не отображается Имя пользователя;
2) При запуске Windows, а так же при выходе из системы вылазит окошко. В заголовке окна квадратики (мол шрифт не распознался), а в самом окне написано то квадратики,то квадратики+C:\windows\system32, то квадратики+Инициалы.
3) Не работает кнопка смена пользователя
Вроде все
Вот имя карантина 080908_044801_virus_48c4f4d12ec9c.zip
-
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O20 - Winlogon Notify: rqRJCSMd - rqRJCSMd.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{08B0E5C0-4FCB-11CF-AAX5-00401C608512}');
QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 58
Вот
Карантин 080908_063202_virus_48c50d32afba8.zip за 2008.09.08
А можно ли решить как-нибудь проблему перечисленные выше?
-
Сообщение от
Mistikkk
А можно ли решить как-нибудь проблему перечисленные выше?
Насчет смены пользователя
Пуск/Выполнить ...
Код:
net start FastUserSwitchingCompatibilty
, нажать ВВОД.
В службах проверить режим запуска.
Вы msconfig ом службы отключали? Если Да - восстановите, как было.
Насчет остального - посовещаюсь с коллегами.
-
-
Junior Member
- Вес репутации
- 58
В msconfig я ничего не трогал
Добавлено через 2 минуты
Спасибо огромное Вашему коллективу
Эти проблемы не очень то и мешают. А если обновить Виндоус ошибки эти должны исправиться или есть шанс что останется все как есть?
Последний раз редактировалось Mistikkk; 08.09.2008 в 16:06.
Причина: Добавлено
-
Сообщение от
Mistikkk
А если обновить Виндоус ошибки эти должны исправиться или есть шанс что останется все как есть?
Установить обновления всегда неплохо, иногда это даже испарвляет системные ошибки. С WinNT4 - даже очень часто бывало: переставишь последний сервис пак (их 6 было) - и помогало.
-
-
Еще попробуйте вот этот скрипт:
Код:
begin
ExecuteRepair(7);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 58
Во теперь не вылазит окошко при запуске Виндоус, толи из-за
net start FastUserSwitchingCompatibilty
то ли из за скрипта
Все теперь понял в чем дело то было, почему то Служба терминалов была выключина, как только включил, сразуже и появились Имена пользователей у процессов и заработала кнопка смена пользователей
Последний раз редактировалось Rene-gad; 09.09.2008 в 10:01.
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 5
- Обработано файлов: 191
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\webhancer\\programs\\webhdll.dll - not-a-virus:AdWare.Win32.WebHancer.390 (DrWEB: Adware.WebHancer)
- c:\\program files\\webhancer\\programs\\whagent.exe - not-a-virus:AdWare.Win32.WebHancer.f (DrWEB: Adware.WebHancer.80)
- c:\\recycler\\s-1-5-21-1482476501-1644491937-682003330-1015\\svchost.exe - Backdoor.Win32.Agent.rei (DrWEB: Trojan.DownLoad.4550)
- c:\\windows\\system32\\getsn32.dll - not-a-virus:AdWare.Win32.BHO.cvf (DrWEB: Trojan.Click.20225)
- c:\\windows\\system32\\pmnnmfdb.dll - Trojan.Win32.Monder.mgr (DrWEB: Trojan.Virtumod.505)
- c:\\windows\\system32\\rqrjcsmd.dll - Trojan.Win32.Monderb.fqc (DrWEB: Trojan.Virtumod.44
- c:\\windows\\system32\\uesiuqcr.exe - not-a-virus:AdWare.Win32.BHO.dhp (DrWEB: archive: Trojan.Click.20225)
-