Показано с 1 по 15 из 15.

Spyware infection (заявка № 29743)

  1. #1
    Junior Member Репутация
    Регистрация
    07.09.2008
    Сообщений
    9
    Вес репутации
    57

    Spyware infection

    Здравствуйте!

    На рабочем столе появляется сообщение: Your computer is infected! Windows has detected spyware infection!

    Не дает запустить Антивирус.

    avz запустилась только после ее переименования в game.pif
    HijackThis - запустить не получается.

    Вот логи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\System32\Drivers\Winor57.sys - force delete
    выполните скрипт....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winor57.sys','');
     QuarantineFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\L3FFLPGE\Install[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
     QuarantineFile('C:\WINDOWS\system32\karina.dat','');
     QuarantineFile('C:\WINDOWS\Temp\.tt42.tmp.exe','');
     BC_DeleteSvc('WZCSVCW32TimeNetman');
     BC_DeleteSvc('WmiApSrvHidServCOMSysApp');
     BC_DeleteSvc('WmiApSrvDhcpNtmsSvc');
     BC_DeleteSvc('WebClientW32TimeseclogonseclogonLmHosts');
     BC_DeleteSvc('WebClientW32Timeseclogon');
     BC_DeleteSvc('WebClientTapiSrv');
     BC_DeleteSvc('WebClientSamSsERSvc');
     BC_DeleteSvc('WebClientSamSs');
     BC_DeleteSvc('W32TimeSCardSvrRpcLocatorSSDPSRVWmiApSrvHidServCOMSysApp');
     BC_DeleteSvc('W32TimeNetmanW32Time');
     BC_DeleteSvc('W32TimeNetmanRDSessMgrDhcpMSDTCNetDDEdsdmRemoteAccessRpcLocator');
     BC_DeleteSvc('W32TimeNetman');
     BC_DeleteSvc('VSSupnphost');
     BC_DeleteSvc('UMWdfRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
     BC_DeleteSvc('UMWdfCryptSvc');
     BC_DeleteSvc('Themessrservice');
     BC_DeleteSvc('TermServiceNtmsSvc');
     BC_DeleteSvc('SysmonLogUMWdf');
     BC_DeleteSvc('SpoolerSysmonLog');
     BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
     BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessHidServNetman');
     BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessHidServ');
     BC_DeleteSvc('SpoolerNetDDEdsdmAudioSrvseclogon');
     BC_DeleteSvc('SpoolerNetDDEdsdm');
     BC_DeleteSvc('SpoolerALG');
     BC_DeleteSvc('ShellHWDetectionWmiAudioSrvseclogon');
     BC_DeleteSvc('ShellHWDetectionWmi');
     BC_DeleteSvc('SharedAccessdmserver');
     BC_DeleteSvc('SENSClipSrv');
     BC_DeleteSvc('SCardSvrSENSDhcpMSDTC');
     BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserverMessengerWZCSVC');
     BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdm');
     BC_DeleteSvc('SCardDrvmnmsrvcThemes');
     BC_DeleteSvc('SamSsEventlog');
     BC_DeleteSvc('RSVPSpoolerNetDDEdsdmAudioSrvseclogon');
     BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmiuploadmgrERSvc');
     BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
     BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmiBITSSwPrvTermServiceNtmsSvc');
     BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
     BC_DeleteSvc('RemoteAccessRpcLocator');
     BC_DeleteSvc('RDSessMgrDhcpMSDTCNetDDEdsdmRemoteAccessRpcLocator');
     BC_DeleteSvc('RDSessMgrDhcpMSDTCNetDDEdsdm');
     BC_DeleteSvc('RasManRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
     BC_DeleteSvc('RasAutoAVP');
     BC_DeleteSvc('ProtectedStorageRpcSs');
     BC_DeleteSvc('PolicyAgentFastUserSwitchingCompatibility');
     BC_DeleteSvc('PolicyAgentAudioSrv');
     BC_DeleteSvc('NtLmSspNetDDE');
     BC_DeleteSvc('NetDDEcisvc');
     BC_DeleteSvc('MSDTCdmadminTermService');
     BC_DeleteSvc('MSDTCdmadmin');
     BC_DeleteSvc('MessengerWZCSVC');
     BC_DeleteSvc('LmHostsSCardSvr');
     BC_DeleteSvc('LmHostsProtectedStorage');
     BC_DeleteSvc('HidServwinmgmt');
     BC_DeleteSvc('HidServCOMSysApp');
     BC_DeleteSvc('dmserverPolicyAgentFastUserSwitchingCompatibility');
     BC_DeleteSvc('dmadminwinmgmtThemes');
     BC_DeleteSvc('DhcpRpcLocatorWmiApSrv');
     BC_DeleteSvc('DhcpRpcLocatorSpooler');
     BC_DeleteSvc('DhcpRpcLocator');
     BC_DeleteSvc('DhcpNtmsSvc');
     BC_DeleteSvc('DhcpMSDTCRpcLocator');
     BC_DeleteSvc('DhcpMSDTCNetDDEdsdm');
     BC_DeleteSvc('DhcpMSDTC');
     BC_DeleteSvc('CryptSvcWmiApSrv');
     BC_DeleteSvc('Browserwuauserv');
     BC_DeleteSvc('BITSSwPrvTermServiceNtmsSvc');
     BC_DeleteSvc('AudioSrvseclogonTlntSvr');
     BC_DeleteSvc('AudioSrvseclogon');
     BC_DeleteSvc('AppMgmtSpoolerNetDDEdsdmAudioSrvseclogon');
     BC_DeleteSvc('AppMgmtRemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
     BC_DeleteSvc('AppMgmthelpsvc');
     BC_DeleteSvc('AlerterTapiSrv');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     TerminateProcessByName('c:\windows\services.exe');
     QuarantineFile('c:\windows\services.exe','');
     TerminateProcessByName('c:\windows\system32\buritos.exe');
     QuarantineFile('c:\windows\system32\buritos.exe','');
     DeleteFile('c:\windows\system32\buritos.exe');
     DeleteFile('c:\windows\services.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winor57.sys');
     BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
     DeleteFile('C:\WINDOWS\system32\karina.dat');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\blphc3a8j0ee87.scr');
     DeleteFile('C:\WINDOWS\system32\winivstr.exe');
     DeleteFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\L3FFLPGE\Install[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    07.09.2008
    Сообщений
    9
    Вес репутации
    57
    Карантин прислал.
    Новые логи
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\WINDOWS\System32\Drivers\Winor57.sys обязательно удалять в icesword и только затем...
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    BC_DeleteSvc('WebClientW32Timeseclogonseclogon');
    BC_DeleteSvc('WebClientTapiSrvWmiApSrv');
    BC_DeleteSvc('W32Timeseclogon');
    BC_DeleteSvc('W32TimeSCardSvrRpcLocator');
    BC_DeleteSvc('W32Timelanmanworkstation');
    BC_DeleteSvc('uploadmgrERSvc');
    BC_DeleteSvc('SwPrvTermServiceNtmsSvc');
    BC_DeleteSvc('SSDPSRVWmiApSrvHidServCOMSysApp');
    BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccess');
    BC_DeleteSvc('ShellHWDetectionUPS');
    BC_DeleteSvc('ScheduleNVSvc');
    BC_DeleteSvc('SCardSvrSENS');
    BC_DeleteSvc('SCardSvrRpcLocator');
    BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserver');
    BC_DeleteSvc('SCardDrvmnmsrvc');
    BC_DeleteSvc('RpcSsstisvc');
    BC_DeleteSvc('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
    BC_DeleteSvc('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
    BC_DeleteSvc('ImapiServiceSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
    BC_DeleteSvc('EventSystemMSDTC');
    BC_DeleteSvc('dmadminwinmgmt');
    BC_DeleteSvc('CryptSvcWmiApSrvRpcSsstisvc');
    BC_DeleteSvc('AudioSrvNetlogon');
     TerminateProcessByName('c:\windows\buritos.exe');
     DeleteFile('c:\windows\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\buritos.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winor57.sys');
     DeleteFile('srv.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\karina.dat');
     DeleteFile('C:\WINDOWS\System32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\winivstr.exe');
     DeleteFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\K1Y30PM7\Install[1].exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    повторите логи ....

  6. #5
    Junior Member Репутация
    Регистрация
    07.09.2008
    Сообщений
    9
    Вес репутации
    57
    Спасибо за помощь. После выполнения первого скрипта, мне удалось открыть антивирус и удалить все оставшиеся вирусы.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    логи где ?

  8. #7
    Junior Member Репутация
    Регистрация
    07.09.2008
    Сообщений
    9
    Вес репутации
    57
    Вот логи:
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    отключите антивирус ...
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('AudioSrvNetlogon');
     BC_DeleteSvc('CryptSvcWmiApSrvRpcSsstisvc');
     BC_DeleteSvc('dmadminwinmgmt');
     BC_DeleteSvc('ImapiServiceSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
     BC_DeleteSvc('PolicyAgentRDSessMgr');
     BC_DeleteSvc('PolicyAgentRDSessMgrdmadmin');
     BC_DeleteSvc('RpcSsstisvc');
     BC_DeleteSvc('SCardDrvmnmsrvc');
     BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserver');
     BC_DeleteSvc('SCardSvrRpcLocator');
     BC_DeleteSvc('ScheduleNVSvc');
     BC_DeleteSvc('SSDPSRVWmiApSrvHidServCOMSysApp');
     BC_DeleteSvc('SwPrvTermServiceNtmsSvc');
     BC_DeleteSvc('W32TimeSCardSvrRpcLocator');
     BC_DeleteSvc('W32Timeseclogon');
     BC_DeleteSvc('WebClientTapiSrvWmiApSrv');
     BC_DeleteSvc('WebClientW32Timeseclogonseclogon');
     DeleteFile('C:\WINDOWS\System32\braviax.exe');
     DeleteFile('C:\WINDOWS\System32\karina.dat');
     DeleteFile('C:\WINDOWS\Temp\.tt42.tmp.exe');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\system32\winivstr.exe');
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    07.09.2008
    Сообщений
    9
    Вес репутации
    57
    Логи:
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Murzik29 Посмотреть сообщение
    Логи:
    Где 3-й?

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\System32\karina.dat','');
     QuarantineFile('C:\WINDOWS\Temp\.tt42.tmp.exe','');
     QuarantineFile('C:\WINDOWS\System32\braviax.exe','');
     DeleteService('EventSystemMSDTC');
     DeleteService('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
     DeleteService('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
     DeleteService('SCardSvrSENS');
     DeleteService('ShellHWDetectionUPS');
     DeleteService('SpoolerNetDDEdsdmSharedAccess');
     DeleteService('uploadmgrERSvc');
     DeleteService('W32Timelanmanworkstation');
     DeleteFile('C:\WINDOWS\System32\braviax.exe');
     DeleteFile('C:\WINDOWS\Temp\.tt42.tmp.exe');
     DeleteFile('C:\WINDOWS\System32\karina.dat');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('EventSystemMSDTC');
     BC_DeleteSvc('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
     BC_DeleteSvc('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
     BC_DeleteSvc('SCardSvrSENS');
     BC_DeleteSvc('ShellHWDetectionUPS');
     BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccess');
     BC_DeleteSvc('uploadmgrERSvc');
     BC_DeleteSvc('W32Timelanmanworkstation');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    07.09.2008
    Сообщений
    9
    Вес репутации
    57
    Логи:
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    больше ничего плохого ...

  14. #13
    Junior Member Репутация
    Регистрация
    07.09.2008
    Сообщений
    9
    Вес репутации
    57
    Спасибо огромное за помощь!

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O15 - Trusted Zone: *.ssaabb.com
    и пропатчите систему: С такой голенькой Вы еще минут 5 побудете в сети незапятнанным.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\o\\local settings\\temporary internet files\\content.ie5\\l3fflpge\\install[1].exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120
      2. c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.qx (DrWEB: Trojan.Packed.573)
      3. c:\\windows\\system32\\buritos.exe - Hoax.Win32.Bravia.ir (DrWEB: Trojan.Packed.612)
      4. c:\\windows\\system32\\karina.dat - Backdoor.Win32.Small.eug (DrWEB: Trojan.Proxy.1739)
      5. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225)
      6. c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120


  • Уважаемый(ая) Murzik29, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Windows has detected spyware infection!
      От Scorpion25 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 13.05.2009, 18:04
    2. spyware infection
      От andreuandreyandrey в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 10:17
    3. Windows has detected spyware infection
      От Nastena1986 в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 08:05
    4. Windows has detected spyware infection
      От Микро в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 29.10.2008, 21:03
    5. Windows has detected spyware infection!
      От OnuyM в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.10.2008, 19:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00000 seconds with 20 queries