Junior Member
Вес репутации
54
WARNING! Your're in danger!
Здравствуйте! Возникла следующая проблема: При запуске Windows на рабочем столе появляется: WARNING! Your're in danger! Your computer is infected with spyware!
Запускается System Securiti Version 4.52, находит 38 вирусов, а чтобы их удалить нужно платно активировать программу.
Из остальных программ НИ ОДНА не работает (кроме Internet Explorer)
Вирус видимо подцепил в интернете (Касперский был выкл)
Установлен Windows XP SP2 лицезионный.
Не знаю что делать! Прошу помощи!)
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключить восстановление системы
Пофиксить в HiJack
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe,
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\amoumain.exe','');
QuarantineFile('C:\Program Files\Target Web ADS\TargetWebADSh.exe','');
QuarantineFile('C:\Program Files\Target Web ADS\TargetWebADSh.exe.update.exe','');
QuarantineFile('C:\Program Files\Target Web ADS\TargetWebADSb.exe','');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{8152A0B9-DEB6-476e-BC67-175B19080A8A}');
QuarantineFile('C:\Program Files\Target Web ADS\TargetWebADS.dll','');
QuarantineFile('C:\WINDOWS\system32\activedsv.exe','');
QuarantineFile('C:\WINDOWS\vlc.exe','');
QuarantineFile('C:\WINDOWS\system32\sdra64.exe','');
QuarantineFile('C:\WINDOWS\svx.exe','');
QuarantineFile('C:\WINDOWS\svw.exe','');
QuarantineFile('C:\WINDOWS\svc.exe','');
QuarantineFile('C:\WINDOWS\odb.exe','');
TerminateProcessByName('c:\windows\lsass.exe');
QuarantineFile('c:\windows\lsass.exe','');
TerminateProcessByName('c:\documents and settings\all users.windows\application data\16371254\16371254.exe');
QuarantineFile('c:\documents and settings\all users.windows\application data\16371254\16371254.exe','');
DeleteFile('c:\documents and settings\all users.windows\application data\16371254\16371254.exe');
DeleteFile('c:\windows\lsass.exe');
DeleteFile('C:\WINDOWS\odb.exe');
DeleteFile('C:\WINDOWS\svc.exe');
DeleteFile('C:\WINDOWS\svw.exe');
DeleteFile('C:\WINDOWS\svx.exe');
DeleteFile('C:\WINDOWS\system32\sdra64.exe');
DeleteFile('C:\WINDOWS\vlc.exe');
DeleteFile('C:\WINDOWS\system32\activedsv.exe');
DeleteFile('C:\Program Files\Target Web ADS\TargetWebADS.dll');
DeleteFile('C:\Program Files\Target Web ADS\TargetWebADSb.exe');
DeleteFile('C:\Program Files\Target Web ADS\TargetWebADSh.exe.update.exe');
DeleteFile('C:\Program Files\Target Web ADS\TargetWebADSh.exe');
DeleteFile('C:\WINDOWS\amoumain.exe');
DeleteFile('C:\Windows\Tasks\{5B57CF47-0BFA-43c6-ACF9-3B3653DCADBA}.job');
DeleteFile('C:\Windows\Tasks\{783AF354-B514-42d6-970E-3E8BF0A5279C}.job');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Все сделал:
1.Отключил восстановление системы
2.Профиксил в HiJack
3.Выполнил скрипт в AVZ
4.Карантин отослал
Выкладываю логи
Появилось оживление, программы вновь работают, исчезло с раб. стола WARNING! Your're in danger!
Вложения
Сообщение от
SaVal
1.Отключил восстановление системы
Восстановление системы: включено
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\wdmon.exe');
QuarantineFile('C:\System Volume Information\_restore{8A49F6E9-8443-4991-B3ED-B233DFEFE3F8}\RP68\A0020981.exe','');
QuarantineFile('C:\System Volume Information\_restore{8A49F6E9-8443-4991-B3ED-B233DFEFE3F8}\RP68\A0020980.exe','');
QuarantineFile('c:\windows\wdmon.exe','');
DeleteFile('c:\windows\wdmon.exe');
DeleteFile('C:\System Volume Information\_restore{8A49F6E9-8443-4991-B3ED-B233DFEFE3F8}\RP68\A0020980.exe');
DeleteFile('C:\System Volume Information\_restore{8A49F6E9-8443-4991-B3ED-B233DFEFE3F8}\RP68\A0020981.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
Junior Member
Вес репутации
54
Чет я не понял!
Восстановление системы мне снова включить???
В вашем логе сказано, что восстановление включено!
I am not young enough to know everything...
Junior Member
Вес репутации
54
аааааааа... просто я не сразу выключил его (сначало сделал логи - а потом выключил...) сейчас выключено.
Скрипт выполнил
Карантин выслал
Вложения
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
O4 - HKLM\..\Run: [16371254] C:\Documents and Settings\All Users.WINDOWS\Application Data\16371254\16371254.exe
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\16371254\16371254.exe','');
DeleteFile('C:\Documents and Settings\All Users.WINDOWS\Application Data\16371254\16371254.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
54
Всё сделал как сказали.
Карантин выслал.
Прикрепляю логи!
Вложения
Теперь чисто.
Рекомендуется установить SP3 + последующие обновления.
I am not young enough to know everything...
Junior Member
Вес репутации
54
ВСЕМ ОГРОМНОЕ СПАСИБО!!!
За вашу проделанную работу!!! Отличный сайт! Удачи!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 135 В ходе лечения обнаружены вредоносные программы:
c:\documents and settings\all users.windows\application data\16371254\16371254.exe - Trojan-Downloader.Win32.FraudLoad.wmug ( DrWEB: Trojan.Fakealert.4494, BitDefender: Trojan.FakeAv.OR ) c:\program files\target web ads\targetwebads.dll - Trojan.Win32.FraudPack.pre ( DrWEB: Trojan.Siggen.3145, BitDefender: Trojan.Generic.1793940 ) c:\program files\target web ads\targetwebadsh.exe - Trojan.Win32.FraudPack.ptu ( DrWEB: Trojan.Siggen.3143, BitDefender: Gen:Trojan.Heur.FakeAV.huX@dmuftTf ) c:\program files\target web ads\targetwebadsh.exe.update.exe - Trojan.Win32.FraudPack.oul ( DrWEB: Trojan.Siggen.2439, BitDefender: Trojan.Renos.NKN ) c:\system volume information\_restore{8a49f6e9-8443-4991-b3ed-b233dfefe3f8}\rp68\a0020980.exe - Backdoor.Win32.UltimateDefender.xs ( DrWEB: Trojan.PWS.Banker.27841 ) c:\system volume information\_restore{8a49f6e9-8443-4991-b3ed-b233dfefe3f8}\rp68\a0020981.exe - Backdoor.Win32.UltimateDefender.xr ( DrWEB: Trojan.PWS.Banker.27839 ) c:\windows\amoumain.exe - Backdoor.Win32.UltimateDefender.xt ( DrWEB: Trojan.PWS.Banker.27830 ) c:\windows\lsass.exe - Backdoor.Win32.UltimateDefender.xu ( DrWEB: Trojan.PWS.Banker.27840 ) c:\windows\odb.exe - Trojan-Clicker.Win32.Vesloruki.bxb ( DrWEB: Trojan.PWS.Banker.27826 ) c:\windows\svc.exe - Trojan-Clicker.Win32.Vesloruki.bwt ( DrWEB: Trojan.Siggen.106 ) c:\windows\svw.exe - Trojan-Clicker.Win32.Vesloruki.bxa ( DrWEB: Trojan.Siggen.106 ) c:\windows\svx.exe - Trojan-Clicker.Win32.Vesloruki.bwx ( DrWEB: Trojan.Siggen.106 ) c:\windows\system32\activedsv.exe - Backdoor.Win32.IRCBot.lmm ( DrWEB: BackDoor.IRC.Cemka ) c:\windows\system32\sdra64.exe - Trojan-Spy.Win32.Zbot.zyq ( DrWEB: Trojan.PWS.Panda.114 ) c:\windows\vlc.exe - Trojan-Clicker.Win32.Vesloruki.bwz ( DrWEB: Trojan.Click.20008 ) c:\windows\wdmon.exe - Trojan-Clicker.Win32.Vesloruki.bxc
Рекомендации:
Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !