Показано с 1 по 20 из 20.

Тоже WinAntispyware2008 (заявка № 30351)

  1. #1
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57

    Тоже WinAntispyware2008

    Синий или белый экран с предупреждение, перезагрузка как я понял при бездействии. Отсутствие в трее значков "сетевое подключение" и "подключена флэшка или т.п. устройство". И постоянно выскакивае сообщение (см. скрин)

    Правда сегодня окно с предупреждение на рабочем столе исчезло само, но все остальное осталось.

    Логов от AVZ нету - запустить не удалось.
    Изображения Изображения
    • Тип файла: png skrin.png (6.2 Кб, 15 просмотров)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523

  4. #3
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Во время сканирования после требуемой перезагрузки выскакивало окно "Отправть информацию об ошибки в Микрософт (вроде)" которое после закрытия тут же снова выскакивало. Помогло только полное выключение копма и запуск по новой.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\system32\Drivers\Winps02.sys - force delete
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\upuphnm.dll','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
     QuarantineFile('C:\WINDOWS\karina.dat','');
     BC_DeleteSvc('Winyc68');
     BC_DeleteSvc('Winyc35');
     BC_DeleteSvc('Winyc03');
     BC_DeleteSvc('Winxa58');
     BC_DeleteSvc('Winwa70');
     BC_DeleteSvc('Winwa58');
     BC_DeleteSvc('Winwa03');
     BC_DeleteSvc('Winvy14');
     BC_DeleteSvc('Winvy03');
     BC_DeleteSvc('Winva58');
     BC_DeleteSvc('Winuy47');
     BC_DeleteSvc('Winux70');
     BC_DeleteSvc('Winux60');
     BC_DeleteSvc('Winux58');
     BC_DeleteSvc('Winru47');
     BC_DeleteSvc('Winru03');
     BC_DeleteSvc('Winqt71');
     BC_DeleteSvc('Winqt35');
     BC_DeleteSvc('Winpt14');
     BC_DeleteSvc('Winps47');
     BC_DeleteSvc('Winps36');
     BC_DeleteSvc('Winps14');
     BC_DeleteSvc('Winnq70');
     BC_DeleteSvc('Winmp24');
     BC_DeleteSvc('Winlo57');
     BC_DeleteSvc('Winkn70');
     BC_DeleteSvc('Winkn58');
     BC_DeleteSvc('Winkn57');
     BC_DeleteSvc('Winhk46');
     BC_DeleteSvc('Winhk14');
     BC_DeleteSvc('Winfj58');
     BC_DeleteSvc('Winfi58');
     BC_DeleteSvc('Winfi14');
     BC_DeleteSvc('Wineh68');
     BC_DeleteSvc('Wineh36');
     BC_DeleteSvc('Windg25');
     BC_DeleteSvc('Windg03');
     BC_DeleteSvc('Wincf70');
     BC_DeleteSvc('Winbf03');
     BC_DeleteSvc('Winbe36');
     BC_DeleteSvc('Winbe14');
     BC_DeleteSvc('Winae03');
     BC_DeleteSvc('Winad57');
     BC_DeleteSvc('Winad24');
     BC_DeleteSvc('Winps02');
     BC_DeleteSvc('WZCSVCRasManNetDDEdsdm');
     BC_DeleteSvc('WmiWmiApSrvSENSCryptSvcLmHosts Smart');
     BC_DeleteSvc('WmiWmiApSrvSENSCryptSvcLmHosts');
     BC_DeleteSvc('WmiUPSMONServiceDnscache');
     BC_DeleteSvc('WmiTlntSvr');
     BC_DeleteSvc('WmiSENSCryptSvcLmHostsHidServseclogon');
     BC_DeleteSvc('WmiSENSCryptSvcLmHosts');
     BC_DeleteSvc('WmiApSrvseclogonWmiApSrv');
     BC_DeleteSvc('Wmi Smart');
     BC_DeleteSvc('W32TimeRpcSsAudioSrvSysmonLogRpcSsRSVP');
     BC_DeleteSvc('W32TimeRpcSsAppMgmt');
     BC_DeleteSvc('W32TimeRpcSs');
     BC_DeleteSvc('VSSRSVP');
     BC_DeleteSvc('UMWdfAlerterShellHWDetectionBrowserThemesSharedAccessInCDsrvRlanmanworkstation');
     BC_DeleteSvc('UMWdfAlerterShellHWDetection');
     BC_DeleteSvc('UMWdfAlerterNetDDE');
     BC_DeleteSvc('UMWdfAlerter');
     BC_DeleteSvc('TrkWksRemoteAccessaspnet_stateNetDDEdsdmwinmgmtCiSvc');
     BC_DeleteSvc('TrkWksRemoteAccessaspnet_state');
     BC_DeleteSvc('ThemesMessenger');
     BC_DeleteSvc('ThemesALGNetmandmserverNtmsSvcClipSrvAlerter');
     BC_DeleteSvc('ThemesALGNetmandmserverNtmsSvc');
     BC_DeleteSvc('Themes Licensing Service');
     BC_DeleteSvc('TermServicewscsvc');
     BC_DeleteSvc('TapiSrvSENSCryptSvclanmanserverLmHosts');
     BC_DeleteSvc('stisvcALGNetman LM Service');
     BC_DeleteSvc('stisvcALGNetman');
     BC_DeleteSvc('srserviceWmiATIRemoteAccessaspnet_state');
     BC_DeleteSvc('srserviceWmi');
     BC_DeleteSvc('srservicehelpsvcLightScribeService');
     BC_DeleteSvc('SpoolerRSVPdmadminSamSs');
     BC_DeleteSvc('Spooler Smart');
     BC_DeleteSvc('ShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('ShellHWDetectionwuauservRemoteRegistry');
     BC_DeleteSvc('ShellHWDetectionwuauserv');
     BC_DeleteSvc('ShellHWDetectionTapiSrv');
     BC_DeleteSvc('ShellHWDetection Licensing Service');
     BC_DeleteSvc('SENSShellHWDetectionwuauserv');
     BC_DeleteSvc('SENSCryptSvcSharedAccess');
     BC_DeleteSvc('SENSCryptSvcLmHostsATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('SENSCryptSvcLmHosts');
     BC_DeleteSvc('SENSCryptSvclanmanserverWmiWmiApSrvSENSCryptSvcLmHosts');
     BC_DeleteSvc('SENSCryptSvclanmanserverLmHosts');
     BC_DeleteSvc('SENSCryptSvclanmanserver');
     BC_DeleteSvc('SENSCryptSvc');
     BC_DeleteSvc('seclogonWmiApSrv');
     BC_DeleteSvc('SchedulelanmanserverRasManRasAutomnmsrvc');
     BC_DeleteSvc('RSVPdmadminSamSs');
     BC_DeleteSvc('RSVPdmadminCiSvc');
     BC_DeleteSvc('RSVPdmadmin');
     BC_DeleteSvc('RpcSsRSVPBrowserThemesSharedAccessInCDsrvRlanmanworkstation');
     BC_DeleteSvc('RpcSsRSVPAudioSrvRasMan');
     BC_DeleteSvc('RpcSsRSVP');
     BC_DeleteSvc('RpcLocatorNetDDEdsdmInCDsrvRlanmanworkstation');
     BC_DeleteSvc('RpcLocatorlanmanserverRDSessMgr');
     BC_DeleteSvc('RpcLocatordmserverMSSQLServerADHelperdmadmin');
     BC_DeleteSvc('RpcLocatordmserverMSSQLServerADHelper');
     BC_DeleteSvc('RpcLocatordmserver');
     BC_DeleteSvc('RemoteRegistryLightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('RemoteAccessaspnet_state');
     BC_DeleteSvc('RasManRasAutomnmsrvc');
     BC_DeleteSvc('RasManNetDDEdsdm');
     BC_DeleteSvc('RasMan LM Service');
     BC_DeleteSvc('MSSQLServerADHelperAudioSrvRemoteAccessaspnet_statesrservice');
     BC_DeleteSvc('MSSQLServerADHelperAudioSrvRemoteAccessaspnet_state');
     BC_DeleteSvc('MSSQLServerADHelperAudioSrv');
     BC_DeleteSvc('MSSQL$SONY_MEDIAMGRupnphost');
     BC_DeleteSvc('MSSQL$SONY_MEDIAMGRALGNetmanNtmsSvcBITS');
     BC_DeleteSvc('MessengerBITS');
     BC_DeleteSvc('LightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('lanmanworkstationRasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('lanmanserverRDSessMgrDnscacheEhttpSrv');
     BC_DeleteSvc('lanmanserverRDSessMgrDnscache');
     BC_DeleteSvc('lanmanserverRDSessMgr');
     BC_DeleteSvc('lanmanserverRasManRasAutomnmsrvc');
     BC_DeleteSvc('InCDsrvRRSVP');
     BC_DeleteSvc('InCDsrvRRasManNetDDEdsdm');
     BC_DeleteSvc('InCDsrvRlanmanworkstationLightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('InCDsrvRlanmanworkstation');
     BC_DeleteSvc('InCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('ImapiServiceUPSNOD32krn');
     BC_DeleteSvc('ImapiServiceUPSLmHostsRasAutomnmsrvcRSVPdmadminSamSs');
     BC_DeleteSvc('ImapiServiceUPSLmHosts');
     BC_DeleteSvc('ImapiServiceUPS');
     BC_DeleteSvc('HTTPFilterSENSCryptSvc');
     BC_DeleteSvc('HidServxmlprov');
     BC_DeleteSvc('HidServseclogonShellHWDetectionwuauservShellHWDetectionAlerterBrowserThemesTermService');
     BC_DeleteSvc('HidServseclogonShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('HidServseclogon');
     BC_DeleteSvc('HidServNtmsSvc');
     BC_DeleteSvc('HidServ Smart');
     BC_DeleteSvc('HidServ HotKey Poller');
     BC_DeleteSvc('helpsvcLightScribeServiceBrowserUMWdfAlerterRasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('helpsvcLightScribeServiceBrowserUMWdf');
     BC_DeleteSvc('helpsvcLightScribeService');
     BC_DeleteSvc('helpsvcALGPolicyAgent');
     BC_DeleteSvc('FLEXnetLightScribeService');
     BC_DeleteSvc('FastUserSwitchingCompatibilityLmHostsProtectedStorageDnscacheRSVPdmadminClipSrv');
     BC_DeleteSvc('FastUserSwitchingCompatibilityLmHosts');
     BC_DeleteSvc('EventSystemdmserverNtmsSvcSchedule');
     BC_DeleteSvc('DnscacheWmiApSrvHidServdmserverNtmsSvcSchedule');
     BC_DeleteSvc('DnscacheWmiApSrvHidServ');
     BC_DeleteSvc('DnscacheWmiApSrvBITSEventlog');
     BC_DeleteSvc('DnscacheWmiApSrv');
     BC_DeleteSvc('DnscacheRSVPdmadmin');
     BC_DeleteSvc('dmserverShellHWDetectionwuauservShellHWDetectionHidServseclogon');
     BC_DeleteSvc('dmserverShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('dmserverNtmsSvcSchedule');
     BC_DeleteSvc('dmserverNtmsSvc');
     BC_DeleteSvc('dmserverHTTPFilter');
     BC_DeleteSvc('dmadminNetDDEPlugPlay');
     BC_DeleteSvc('DcomLaunchRemoteAccess');
     BC_DeleteSvc('CryptSvcdmadminupnphost');
     BC_DeleteSvc('CryptSvcdmadmin');
     BC_DeleteSvc('clr_optimization_v2.0.50727_32RasManRasAutomnmsrvc');
     BC_DeleteSvc('ClipSrvAlerter');
     BC_DeleteSvc('BrowserUMWdf');
     BC_DeleteSvc('BrowserThemesSharedAccessInCDsrvRlanmanworkstation');
     BC_DeleteSvc('BrowserThemesSharedAccess');
     BC_DeleteSvc('BrowserThemes');
     BC_DeleteSvc('BrowserRasAutoTermServicewscsvc');
     BC_DeleteSvc('BrowserRasAuto');
     BC_DeleteSvc('BITSEventlog');
     BC_DeleteSvc('AudioSrvSysmonLog');
     BC_DeleteSvc('AudioSrvRasManWmiApSrv');
     BC_DeleteSvc('ATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('ATIRemoteAccessaspnet_state');
     BC_DeleteSvc('AtiALG');
     BC_DeleteSvc('AppMgmtRSVPdmadminCiSvc');
     BC_DeleteSvc('AppMgmt Smart');
     BC_DeleteSvc('ALGRpcLocator');
     BC_DeleteSvc('ALGPolicyAgent');
     BC_DeleteSvc('ALGNetmanNtmsSvcBITS');
     BC_DeleteSvc('ALGNetmandmserverNtmsSvcHTTPFilter');
     BC_DeleteSvc('ALGNetmandmserverNtmsSvc');
     BC_DeleteSvc('ALGNetman');
     BC_DeleteSvc('AlerterRemoteAccess');
     BC_DeleteSvc('AlerterRasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('AlerterDnscacheWmiApSrvBITSEventloglanmanserverRasManRasAutomnmsrvc');
     BC_DeleteSvc('AlerterDnscacheWmiApSrvBITSEventlog');
     BC_DeleteSvc('AlerterBrowserThemesTermServiceLightScribeServiceWmiWmiApSrv');
     BC_DeleteSvc('AlerterBrowserThemesTermServiceHidServseclogonShellHWDetectionwuauservShellHWDetection');
     BC_DeleteSvc('AlerterBrowserThemesTermService');
     BC_DeleteSvc('AlerterBrowserThemes');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winps02.sys','');
     TerminateProcessByName('c:\windows\system32\buritos.exe');
     QuarantineFile('c:\windows\system32\buritos.exe','');
     DeleteFile('c:\windows\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winps02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps02.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winad24.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winad57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winae03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbe36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbf03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincf70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windg03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windg25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineh36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineh68.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfi14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfi58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfj58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhk14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhk46.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkn57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkn58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkn70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlo57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmp24.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnq70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps36.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winps47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winpt14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqt35.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqt71.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winru03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winru47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winux58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winux60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winux70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winuy47.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winva58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvy03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winvy14.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwa03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwa58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwa70.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxa58.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyc03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyc35.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyc68.sys');
     DeleteFile('C:\WINDOWS\karina.dat');
     DeleteFile('C:\WINDOWS\system32\amvo.exe');
     DeleteFile('C:\WINDOWS\system32\blphct30j0e175.scr');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\upuphnm.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Цитата Сообщение от V_Bond Посмотреть сообщение
    скачайте C:\WINDOWS\system32\Drivers\Winps02.sys - force delete
    В чём или через что выполнить?

    Цитата Сообщение от V_Bond Посмотреть сообщение
    выполните скрипт
    Я так понял в AVZ.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Цитата Сообщение от GAN Посмотреть сообщение
    force delete
    В чём или через что выполнить?
    Вот здесь подробнее: http://virusinfo.info/showthread.php?t=17228

    А скрипт - в AVZ.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Всё по прежнему. Единственно что исчезло сообщение на скрине в 1-ом посте после установки Spyware Doctor.

    Обнаружил что в "Панели управления" пропал "WINDOWS Секюрити" - та менюшка где показывается включение/выключение автообновления, брендмаузера и антивируса. Исчезло скрытие неиспользующихся значков в трее у часов.

    Карантин послал:
    Файл сохранён как 080917_174743_virus_48d1890f780e4.zip
    Размер файла 183712
    MD5 d1e59c4dfca8aafef09bab78f84005a0



    P.S.
    А на сколько в таком случае может помочь переустановка системы?
    Вложения Вложения
    Последний раз редактировалось GAN; 18.09.2008 в 03:08.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Цитата Сообщение от GAN Посмотреть сообщение
    Всё по прежнему.
    Ну понятное дело, так как Вы сделали все неправильно.
    Цитата Сообщение от GAN Посмотреть сообщение
    Единственно что исчезло сообщение на скрине в 1-ом посте после установки Spyware Doctor.
    Ни какой Spyware Doctor устанавливать было не нужно! Деинсталлируйте его! Вам нужен IceSword.

    Подробнее здесь http://virusinfo.info/showthread.php?t=17228

    Если опять что-то не понятно, то нужно спросить!

    Добавлено через 2 минуты

    Базы AVZ не забудьте обновить!
    Последний раз редактировалось Синауридзе Александр; 18.09.2008 в 05:35. Причина: Добавлено

  10. #9
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Ни какой Spyware Doctor устанавливать было не нужно!
    Именно его предлагалось скачать перейдя по ссылке в 4ом посте данной темы.

    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Базы AVZ не забудьте обновить!
    Вчере данная функции в AVZ скаченного из 2ого поста была не активна. Сейчас удалось запустить "полноценный" AVZ предлагаемый вами и успешно обновить его базы.

    Цитата Сообщение от Синауридзе Александр Посмотреть сообщение
    Если опять что-то не понятно, то нужно спросить!
    Вы правы.

    Файл с помощью IceSword удалил, но предварительно сохранил его в отдельную папку. Что с ним делать?

    При выполнении скрипта через AVZ что должно быть выключенно или запущено:
    -востановление системы
    -Internet Explorer
    -интернет/локалка
    -антивирус
    ?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.08.2005
    Адрес
    Узбекистан, Ташкент
    Сообщений
    2,117
    Вес репутации
    1822
    Цитата Сообщение от GAN Посмотреть сообщение
    Файл с помощью IceSword удалил, но предварительно сохранил его в отдельную папку. Что с ним делать?
    Пришлите карантин согласно приложению 2 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30351
    Цитата Сообщение от GAN Посмотреть сообщение
    При выполнении скрипта через AVZ что должно быть выключенно или запущено:
    -востановление системы
    -Internet Explorer
    -интернет/локалка
    -антивирус
    ?
    Internet Explorer закройте, а остальное отключите. Выполните скрипт V_Bond.

    Сделайте новые логи (только п.2 и 3 раздела Диагностика).

  12. #11
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Пришлите карантин согласно приложению 2 правил.
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30351
    В AVZ список карантина пуст. Этот файл у меня в отдельной папке, куда я его сохранил через IceSword.

    Изменений пока не заметил.
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('karina.dat','');
     QuarantineFile('buritos.exe','');
     QuarantineFile('WinCtrl32.dll','');
     BC_DeleteSvc('WmiWmiApSrv');
     BC_DeleteSvc('W32TimeRpcSsAudioSrvSysmonLog');
     BC_DeleteSvc('UPSMONServiceDnscache');
     BC_DeleteSvc('ThemesMessengerInCDsrv');
     BC_DeleteSvc('ShellHWDetectionwuauservThemesALGNetmandmserverNtmsSvcClipSrvAlerter');
     BC_DeleteSvc('SENSCryptSvcATIRemoteAccessaspnet_stateInCDsrvDnscacheRSVPdmadmin');
     BC_DeleteSvc('RemoteAccessaspnet_stateTapiSrv');
     BC_DeleteSvc('RasManNetDDEdsdmShellHWDetectionwuauserv');
     BC_DeleteSvc('RasAutomnmsrvcRSVPdmadminSamSs');
     BC_DeleteSvc('RasAutomnmsrvcAudioSrv');
     BC_DeleteSvc('RasAutomnmsrvcALGNetmanNtmsSvcBITS');
     BC_DeleteSvc('RasAutomnmsrvc');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminSENSCryptSvcSharedAccess');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminClipSrvW32TimeRpcSs');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadminClipSrv');
     BC_DeleteSvc('ProtectedStorageDnscacheRSVPdmadmin');
     BC_DeleteSvc('PolicyAgentsrservice');
     BC_DeleteSvc('PolicyAgent LM Service');
     BC_DeleteSvc('PnkBstrASpooler');
     BC_DeleteSvc('PlugPlayBITSEventlog');
     BC_DeleteSvc('NtmsSvcUPSMONService');
     BC_DeleteSvc('NtmsSvcBITSEventSystem');
     BC_DeleteSvc('NtmsSvcBITS');
     BC_DeleteSvc('NtLmSspEventSystemSpooler');
     BC_DeleteSvc('NtLmSspEventSystem');
     BC_DeleteSvc('NlaUMWdfAlerterNetDDE');
     BC_DeleteSvc('NetlogonDhcpEventlogUMWdfAlerter');
     BC_DeleteSvc('NetlogonDhcpEventlog');
     BC_DeleteSvc('NetlogonDhcp');
     BC_DeleteSvc('NetDDERemoteAccessaspnet_state');
     BC_DeleteSvc('NetDDEPlugPlay');
     BC_DeleteSvc('NetDDEdsdmxmlprovNetDDEdsdm');
     BC_DeleteSvc('NetDDEdsdmwinmgmtCiSvc');
     BC_DeleteSvc('NetDDEdsdmwinmgmt');
     BC_DeleteSvc('NetDDEdsdmTermService');
     BC_DeleteSvc('NetDDEdsdmInCDsrvRlanmanworkstation Smart');
     BC_DeleteSvc('NetDDEdsdmInCDsrvRlanmanworkstation');
     BC_DeleteSvc('NetDDEdsdmAlerterBrowserThemesTermService');
     BC_DeleteSvc('AudioSrvRasMan');
     BC_DeleteSvc('AtiSQLAgent$SONY_MEDIAMGR');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('buritos.exe');
     DeleteFile('karina.dat');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  14. #13
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Рабочий стол и Заставка появились.
    Карантин пуст.

    Большон спасибо.

    А что нужно было сделать с данной ссылкой програмой по ней?
    Цитата Сообщение от V_Bond Посмотреть сообщение
    Вложения Вложения

  15. #14
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    P.S.
    Появился "Веб-папки" в "Мой компьютер" которого там с роду не было.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Пофиксить

    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Выполните в AVZ:

    Код:
    begin
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.
    Жалобы есть?

  17. #16
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Жалоб нет. Ещё раз большое спасибо.

    А насчёт востановления иконок в трее "сетевое подключеие", "подключена флэшка" и "WINDOWS Секюрити" в "Панели управления" (та менюшка где показывается включение/выключение автообновления, брендмаузера и антивируса) можно к вам обратится или это уже в невашей компетенции?

  18. #17

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Если метод V_Bond вдруг не сработает попробуйте так: http://virusinfo.info/showthread.php?t=20712 Та должны восстановиться иконки в трее. Нужно так же удостоверится, что напр. в стевых подключенияз включена опция Показывать в трее..
    Насчет WSC: У вас какой вид панели управления? Классический , ХР, меню... ?
    Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?

  20. #19
    Junior Member Репутация
    Регистрация
    17.09.2008
    Сообщений
    10
    Вес репутации
    57
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Если метод V_Bond вдруг не сработает попробуйте так: http://virusinfo.info/showthread.php?t=20712 Та должны восстановиться иконки в трее. Нужно так же удостоверится, что напр. в стевых подключенияз включена опция Показывать в трее..
    Сделал по обоим методам. Не помогло.
    В стевых подключенияз опция "Показывать в трее" включена.

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Насчет WSC: У вас какой вид панели управления? Классический , ХР, меню... ?
    Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?
    В меню "Пуск" стоит "Класический вид".
    В "Панели управления" в меню "Вид" стоит "Значки". (Делал чтобы как и в Win95/98 отображалось).

    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Пуск/Выполнить, наберите wscui.cpl + ВВОД. Что видите?
    То что и хотел - Центр обеспечения безопастности.

  21. #20
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\buritos.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Fakealert.1323)


  • Уважаемый(ая) GAN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 4
      Последнее сообщение: 26.03.2012, 19:23
    2. Тоже Get Accelerator
      От tk2710 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 02.12.2009, 00:49
    3. Ответов: 22
      Последнее сообщение: 22.02.2009, 08:04
    4. WinAntiSpyWare2008
      От Light71 в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00729 seconds with 20 queries