-
Junior Member
- Вес репутации
- 61
В трее появился нежелательный значок
Появилась хворь, которая замучала своей назойливостью. Антивирус ENOD-32 ее не видит.
Проблема в следующем.
В трее появлся новый значок, красный кружок с белым перекрестием внутри, который якобы от самой службы Windows. С постоянной очередностью из него всплывает окошечко, которое напоминает, что “ Danger! Windows Security Center has detected spyware/adware infection” или “Warning! Your computer is infected! It is recommended to start spyware cleaner tool.”
Но это еще не все. С последовательностью где-то в 5 минут по центру экрана всплывает окно в синем заголовке Windows Security Center, а в самом окне разные предложения об ошибках и заражении системы с дальнейшей рекомендацией закачать cleaner tool. Предлагается выбор ОК или отмена. При определенных обстоятельствах даже при нажатии отмена происходит обращение к Интернету на сколько я понял на следующий Web узел htp://scan.scannerantispyware.com/330/3 на сколько я понял через редирект. Дальше происходит сканирование или видимость сканирования, после чего выявляются зараженные объекты и два предложения – удалить все или игнорировать. Жму игнорировать – выдает сразу страничку закачки вполне прадоподобно. Адрес закачки выдает следующий htp://files.downloadproas2009.com/load/Setup_330_3777.exe. После отказа от закачки начинается полный круговорот между этими окнами. Предложение на закачку – отказа и так до без конца. Приходится выключать Интернет.
Второе, что бросилось в глаза в связи с вирем, -запрет на диспетчер задач. При нажатии на клавиши Ctrl+Alt+Del выскакивает окно “Диспетчер задач отключен администратором”
Третье, Отключена опять же администратором редактирование реестра.
В-четвертых, вирь затронул настройки рабочего стола, рабочий стол стал как новогодняя елка по своей цветопередаче, в свойствах экрана все заблокировано, кроме заставки.
Операционная система WindowsXPSP2 Антивирус установленный ENOD-32 с обновлениями.
После проверки компа программой AVPTool в безопасном режиме, выявлись трояны. Я их удалил и после перезагрузки трей освободился от назойливого значка. Но остаются заблокированными админом реестр, диспетчер задач.
Помогите, если можно чем то это исправить.
Логи все собрал.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\nuyqvxli.sys',' ');
QuarantineFile('C:\Documents and Settings\Владимир\Local Settings\Temp\60325cahp25car.exe','');
QuarantineFile('C:\WINDOWS\runsql.exe','');
DelBHO('{162A3C47-2017-46BF-B6F5-8775AD616423}');
QuarantineFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\wndutl32.dll','');
DeleteFile('C:\DOCUME~1\23A4~1\LOCALS~1\Temp\wndutl32.dll');
DeleteFile('C:\WINDOWS\runsql.exe');
DeleteFile('C:\Documents and Settings\Владимир\Local Settings\Temp\60325cahp25car.exe');
DeleteFile('C:\WINDOWS\system32\drivers\nuyqvxli.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(11);
ExecuteRepair(17);
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
-
-
Junior Member
- Вес репутации
- 61
-
пофиксите
Код:
O22 - SharedTaskScheduler: IPC Configuration Utility - IPC Configuration Utility - (no file)
больше ничего подозрительного
-
-
Junior Member
- Вес репутации
- 61
профиксил 022.
Благодарен всем кто принял активное участие в исправлении проблемы.
Вы настоящие профессионалы.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\владимир\\local settings\\temp\\60325cahp25car.exe - HEUR:Trojan.Win32.Generic (DrWEB: Trojan.Click.18046)
- c:\\windows\\runsql.exe - HEUR:Trojan.Win32.Generic (DrWEB: Trojan.Click.18046)
-