Junior Member
Вес репутации
57
Spyware infection
Здравствуйте!
На рабочем столе появляется сообщение: Your computer is infected! Windows has detected spyware infection!
Не дает запустить Антивирус.
avz запустилась только после ее переименования в game.pif
HijackThis - запустить не получается.
Вот логи
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте C:\WINDOWS\System32\Drivers\Winor57.sys - force delete
выполните скрипт....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winor57.sys','');
QuarantineFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\L3FFLPGE\Install[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\WINDOWS\Temp\.tt42.tmp.exe','');
BC_DeleteSvc('WZCSVCW32TimeNetman');
BC_DeleteSvc('WmiApSrvHidServCOMSysApp');
BC_DeleteSvc('WmiApSrvDhcpNtmsSvc');
BC_DeleteSvc('WebClientW32TimeseclogonseclogonLmHosts');
BC_DeleteSvc('WebClientW32Timeseclogon');
BC_DeleteSvc('WebClientTapiSrv');
BC_DeleteSvc('WebClientSamSsERSvc');
BC_DeleteSvc('WebClientSamSs');
BC_DeleteSvc('W32TimeSCardSvrRpcLocatorSSDPSRVWmiApSrvHidServCOMSysApp');
BC_DeleteSvc('W32TimeNetmanW32Time');
BC_DeleteSvc('W32TimeNetmanRDSessMgrDhcpMSDTCNetDDEdsdmRemoteAccessRpcLocator');
BC_DeleteSvc('W32TimeNetman');
BC_DeleteSvc('VSSupnphost');
BC_DeleteSvc('UMWdfRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('UMWdfCryptSvc');
BC_DeleteSvc('Themessrservice');
BC_DeleteSvc('TermServiceNtmsSvc');
BC_DeleteSvc('SysmonLogUMWdf');
BC_DeleteSvc('SpoolerSysmonLog');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessHidServNetman');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccessHidServ');
BC_DeleteSvc('SpoolerNetDDEdsdmAudioSrvseclogon');
BC_DeleteSvc('SpoolerNetDDEdsdm');
BC_DeleteSvc('SpoolerALG');
BC_DeleteSvc('ShellHWDetectionWmiAudioSrvseclogon');
BC_DeleteSvc('ShellHWDetectionWmi');
BC_DeleteSvc('SharedAccessdmserver');
BC_DeleteSvc('SENSClipSrv');
BC_DeleteSvc('SCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserverMessengerWZCSVC');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdm');
BC_DeleteSvc('SCardDrvmnmsrvcThemes');
BC_DeleteSvc('SamSsEventlog');
BC_DeleteSvc('RSVPSpoolerNetDDEdsdmAudioSrvseclogon');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmiuploadmgrERSvc');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmiBITSSwPrvTermServiceNtmsSvc');
BC_DeleteSvc('RpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('RemoteAccessRpcLocator');
BC_DeleteSvc('RDSessMgrDhcpMSDTCNetDDEdsdmRemoteAccessRpcLocator');
BC_DeleteSvc('RDSessMgrDhcpMSDTCNetDDEdsdm');
BC_DeleteSvc('RasManRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('RasAutoAVP');
BC_DeleteSvc('ProtectedStorageRpcSs');
BC_DeleteSvc('PolicyAgentFastUserSwitchingCompatibility');
BC_DeleteSvc('PolicyAgentAudioSrv');
BC_DeleteSvc('NtLmSspNetDDE');
BC_DeleteSvc('NetDDEcisvc');
BC_DeleteSvc('MSDTCdmadminTermService');
BC_DeleteSvc('MSDTCdmadmin');
BC_DeleteSvc('MessengerWZCSVC');
BC_DeleteSvc('LmHostsSCardSvr');
BC_DeleteSvc('LmHostsProtectedStorage');
BC_DeleteSvc('HidServwinmgmt');
BC_DeleteSvc('HidServCOMSysApp');
BC_DeleteSvc('dmserverPolicyAgentFastUserSwitchingCompatibility');
BC_DeleteSvc('dmadminwinmgmtThemes');
BC_DeleteSvc('DhcpRpcLocatorWmiApSrv');
BC_DeleteSvc('DhcpRpcLocatorSpooler');
BC_DeleteSvc('DhcpRpcLocator');
BC_DeleteSvc('DhcpNtmsSvc');
BC_DeleteSvc('DhcpMSDTCRpcLocator');
BC_DeleteSvc('DhcpMSDTCNetDDEdsdm');
BC_DeleteSvc('DhcpMSDTC');
BC_DeleteSvc('CryptSvcWmiApSrv');
BC_DeleteSvc('Browserwuauserv');
BC_DeleteSvc('BITSSwPrvTermServiceNtmsSvc');
BC_DeleteSvc('AudioSrvseclogonTlntSvr');
BC_DeleteSvc('AudioSrvseclogon');
BC_DeleteSvc('AppMgmtSpoolerNetDDEdsdmAudioSrvseclogon');
BC_DeleteSvc('AppMgmtRemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('AppMgmthelpsvc');
BC_DeleteSvc('AlerterTapiSrv');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
TerminateProcessByName('c:\windows\services.exe');
QuarantineFile('c:\windows\services.exe','');
TerminateProcessByName('c:\windows\system32\buritos.exe');
QuarantineFile('c:\windows\system32\buritos.exe','');
DeleteFile('c:\windows\system32\buritos.exe');
DeleteFile('c:\windows\services.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winor57.sys');
BC_DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\blphc3a8j0ee87.scr');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\L3FFLPGE\Install[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
57
Карантин прислал.
Новые логи
Вложения
C:\WINDOWS\System32\Drivers\Winor57.sys обязательно удалять в icesword и только затем...
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('WebClientW32Timeseclogonseclogon');
BC_DeleteSvc('WebClientTapiSrvWmiApSrv');
BC_DeleteSvc('W32Timeseclogon');
BC_DeleteSvc('W32TimeSCardSvrRpcLocator');
BC_DeleteSvc('W32Timelanmanworkstation');
BC_DeleteSvc('uploadmgrERSvc');
BC_DeleteSvc('SwPrvTermServiceNtmsSvc');
BC_DeleteSvc('SSDPSRVWmiApSrvHidServCOMSysApp');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccess');
BC_DeleteSvc('ShellHWDetectionUPS');
BC_DeleteSvc('ScheduleNVSvc');
BC_DeleteSvc('SCardSvrSENS');
BC_DeleteSvc('SCardSvrRpcLocator');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserver');
BC_DeleteSvc('SCardDrvmnmsrvc');
BC_DeleteSvc('RpcSsstisvc');
BC_DeleteSvc('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
BC_DeleteSvc('ImapiServiceSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('EventSystemMSDTC');
BC_DeleteSvc('dmadminwinmgmt');
BC_DeleteSvc('CryptSvcWmiApSrvRpcSsstisvc');
BC_DeleteSvc('AudioSrvNetlogon');
TerminateProcessByName('c:\windows\buritos.exe');
DeleteFile('c:\windows\buritos.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\buritos.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winor57.sys');
DeleteFile('srv.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\karina.dat');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\O\Local Settings\Temporary Internet Files\Content.IE5\K1Y30PM7\Install[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
повторите логи ....
Junior Member
Вес репутации
57
Спасибо за помощь. После выполнения первого скрипта, мне удалось открыть антивирус и удалить все оставшиеся вирусы.
Junior Member
Вес репутации
57
Вложения
отключите антивирус ...
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('AudioSrvNetlogon');
BC_DeleteSvc('CryptSvcWmiApSrvRpcSsstisvc');
BC_DeleteSvc('dmadminwinmgmt');
BC_DeleteSvc('ImapiServiceSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmi');
BC_DeleteSvc('PolicyAgentRDSessMgr');
BC_DeleteSvc('PolicyAgentRDSessMgrdmadmin');
BC_DeleteSvc('RpcSsstisvc');
BC_DeleteSvc('SCardDrvmnmsrvc');
BC_DeleteSvc('SCardDrvSpoolerNetDDEdsdmSharedAccessdmserver');
BC_DeleteSvc('SCardSvrRpcLocator');
BC_DeleteSvc('ScheduleNVSvc');
BC_DeleteSvc('SSDPSRVWmiApSrvHidServCOMSysApp');
BC_DeleteSvc('SwPrvTermServiceNtmsSvc');
BC_DeleteSvc('W32TimeSCardSvrRpcLocator');
BC_DeleteSvc('W32Timeseclogon');
BC_DeleteSvc('WebClientTapiSrvWmiApSrv');
BC_DeleteSvc('WebClientW32Timeseclogonseclogon');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
DeleteFile('C:\WINDOWS\System32\karina.dat');
DeleteFile('C:\WINDOWS\Temp\.tt42.tmp.exe');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
повторите логи ...
Junior Member
Вес репутации
57
Вложения
Сообщение от
Murzik29
Логи:
Где 3-й?
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\karina.dat','');
QuarantineFile('C:\WINDOWS\Temp\.tt42.tmp.exe','');
QuarantineFile('C:\WINDOWS\System32\braviax.exe','');
DeleteService('EventSystemMSDTC');
DeleteService('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
DeleteService('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
DeleteService('SCardSvrSENS');
DeleteService('ShellHWDetectionUPS');
DeleteService('SpoolerNetDDEdsdmSharedAccess');
DeleteService('uploadmgrERSvc');
DeleteService('W32Timelanmanworkstation');
DeleteFile('C:\WINDOWS\System32\braviax.exe');
DeleteFile('C:\WINDOWS\Temp\.tt42.tmp.exe');
DeleteFile('C:\WINDOWS\System32\karina.dat');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('EventSystemMSDTC');
BC_DeleteSvc('LmHostsRpcSsSpoolerNetDDEdsdmSharedAccessShellHWDetectionWmisrservice');
BC_DeleteSvc('RemoteAccessRpcLocatorSCardSvrSENSDhcpMSDTC');
BC_DeleteSvc('SCardSvrSENS');
BC_DeleteSvc('ShellHWDetectionUPS');
BC_DeleteSvc('SpoolerNetDDEdsdmSharedAccess');
BC_DeleteSvc('uploadmgrERSvc');
BC_DeleteSvc('W32Timelanmanworkstation');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Вложения
пофиксите ...
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
больше ничего плохого ...
Junior Member
Вес репутации
57
Спасибо огромное за помощь!
-Пофиксите
Код:
O15 - Trusted Zone: *.ssaabb.com
и пропатчите систему: С такой голенькой Вы еще минут 5 побудете в сети незапятнанным.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 13 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\o\\local settings\\temporary internet files\\content.ie5\\l3fflpge\\install[1].exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120 c:\\windows\\services.exe - Trojan-Proxy.Win32.Small.qx (DrWEB: Trojan.Packed.573) c:\\windows\\system32\\buritos.exe - Hoax.Win32.Bravia.ir (DrWEB: Trojan.Packed.612) c:\\windows\\system32\\karina.dat - Backdoor.Win32.Small.eug (DrWEB: Trojan.Proxy.1739) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bgk (DrWEB: BackDoor.Bulknet.225) c:\\windows\\system32\\winivstr.exe - not-a-virus:FraudTool.Win32.XPSecurityCenter.p (DrWEB: Trojan.Fakealert.120