Показано с 1 по 9 из 9.

Warning! Spyware detected on your computer! (заявка № 31217)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    4
    Вес репутации
    30

    Warning! Spyware detected on your computer!

    Здравствуйте.
    1) Окно: Warning! Spyware detected on your computer! - такой рисунок на рабочем столе.
    2) На панели задач справа красный круг с белым крестом и из него постоянно открывается сообщение Your computer is infected.
    3) В автозагрузке braviax и buritos

    Прошу помощи!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('karina.dat','');
     QuarantineFile('hex(7):','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\lphcp21j0elb7.exe','');
     QuarantineFile('C:\WINDOWS\system32\jsappcmp.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Yej38.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winns05.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
     QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphcp21j0elb7.scr','');
     DeleteService('Yej38');
     DeleteService('WMPNetworkSvcALG');
     DeleteService('WmiNetDDE');
     DeleteService('Wmi Office Groove Audit Service');
     DeleteService('Winns05');
     DeleteService('TlntSvrNetlogon');
     DeleteService('tcpsr');
     DeleteService('TapiSrvwinmgmt');
     DeleteService('TapiSrvmnmsrvc');
     DeleteService('stisvcRpcLocatorRSVP');
     DeleteService('SENSHidServ');
     DeleteService('SCardSvrSharedAccess');
     DeleteService('RpcSsTlntSvrNetlogon');
     DeleteService('RpcLocatorRSVP');
     DeleteService('RichVideoDhcp');
     DeleteService('RichVideoALG');
     DeleteService('RichVideo');
     DeleteService('RemoteRegistryShellHWDetectionServiceLayer');
     DeleteService('RemoteRegistryShellHWDetection');
     DeleteService('RemoteAccessHidServRpcLocator');
     DeleteService('RemoteAccessHidServ');
     DeleteService('NMSAccessURasAuto');
     DeleteService('MSIServerRemoteRegistryShellHWDetection');
     DeleteService('InCDsrvEventSystem');
     DeleteService('ekrnTapiSrv');
     DeleteService('dmserverose');
     DeleteService('CreativeWudfSvc');
     DeleteService('clr_optimization_v2.0.50727_32upnphost');
     DeleteService('Alerter Office Groove Audit Service');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('karina.dat');
     DeleteFile('hex(7):');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\lphcp21j0elb7.exe');
     DeleteFile('C:\WINDOWS\system32\jsappcmp.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Yej38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winns05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\system32\buritos.exe');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\blphcp21j0elb7.scr');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Yej38');
     BC_DeleteSvc('WMPNetworkSvcALG');
     BC_DeleteSvc('WmiNetDDE');
     BC_DeleteSvc('Wmi Office Groove Audit Service');
     BC_DeleteSvc('Winns05');
     BC_DeleteSvc('TlntSvrNetlogon');
     BC_DeleteSvc('tcpsr');
     BC_DeleteSvc('TapiSrvwinmgmt');
     BC_DeleteSvc('TapiSrvmnmsrvc');
     BC_DeleteSvc('stisvcRpcLocatorRSVP');
     BC_DeleteSvc('SENSHidServ');
     BC_DeleteSvc('SCardSvrSharedAccess');
     BC_DeleteSvc('RpcSsTlntSvrNetlogon');
     BC_DeleteSvc('RpcLocatorRSVP');
     BC_DeleteSvc('RichVideoDhcp');
     BC_DeleteSvc('RichVideoALG');
     BC_DeleteSvc('RichVideo');
     BC_DeleteSvc('RemoteRegistryShellHWDetectionServiceLayer');
     BC_DeleteSvc('RemoteRegistryShellHWDetection');
     BC_DeleteSvc('RemoteAccessHidServRpcLocator');
     BC_DeleteSvc('RemoteAccessHidServ');
     BC_DeleteSvc('NMSAccessURasAuto');
     BC_DeleteSvc('MSIServerRemoteRegistryShellHWDetection');
     BC_DeleteSvc('InCDsrvEventSystem');
     BC_DeleteSvc('ekrnTapiSrv');
     BC_DeleteSvc('dmserverose');
     BC_DeleteSvc('CreativeWudfSvc');
     BC_DeleteSvc('clr_optimization_v2.0.50727_32upnphost');
     BC_DeleteSvc('Alerter Office Groove Audit Service');
    executerepair(5);
    executerepair(6);
    executerepair(8);
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    4
    Вес репутации
    30
    все сделал
    Вложения Вложения

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Скаачать IceSword. В нем найти и удалить (force delete):
    c:\windows\buritos.exe

    Выполнить скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('c:\windows\system32\cpl32ver.exe','');
     TerminateProcessByName('c:\windows\buritos.exe');
     QuarantineFile('c:\windows\buritos.exe','');
     DeleteFile('c:\windows\buritos.exe');
    BC_Importall;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Сделать новые логи, загрузить карантин.

    C:\Program Files\PROWiSe\PROWiSe.exe - Вам известна эта программа?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    4
    Вес репутации
    30
    Спасибо все в порядке!
    Очень помогли!
    Вложения Вложения

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    Для порядка профиксите в Хиджаке, если еще не убежали.
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    4
    Вес репутации
    30
    Ещё осталась проблемка! При включении на рабочем столе выскакивает окно c надписью fAIL и с одной кнопкой OK!

    C:\Program Files\PROWiSe\PROWiSe.exe - эта замена стандартного диспетчера в сборке samlab

    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ - сделал

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    - Выполните скрипт
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    RebootWindows(true);
    end.
    После перезагрузки проинформируйте о состоянии ПК.

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,519
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 20
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\braviax.exe - Hoax.Win32.Bravia.ir (DrWEB: Trojan.Packed.612)
      2. c:\\windows\\system32\\buritos.exe - Hoax.Win32.Bravia.ir (DrWEB: Trojan.Packed.612)
      3. c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Agent.adcr (DrWEB: BackDoor.Bulknet.237)
      4. c:\\windows\\system32\\jsappcmp.dll - Worm.Win32.AutoRun.ejg (DrWEB: Win32.HLLW.Autoruner.2299)
      5. c:\\windows\\system32\\lphcp21j0elb7.exe - Trojan-Downloader.Win32.FraudLoad.cum (DrWEB: Trojan.Packed.619)
      6. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bhl (DrWEB: BackDoor.Bulknet.23


  • Уважаемый(ая) compaxa, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 22
      Последнее сообщение: 22.02.2009, 07:16
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    4. Ответов: 1
      Последнее сообщение: 29.09.2008, 10:38
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 18:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00602 seconds with 22 queries