Показано с 1 по 11 из 11.

Warning! Spyware detected! - вот такая надпись на рабочем столе! (заявка № 52486)

  1. #1
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    27

    Thumbs up Warning! Spyware detected! - вот такая надпись на рабочем столе!

    Доброго всем дня!
    Здесь подобные случаи описывались не раз, ну, вот ещё один.
    Как это бывает, внезапно на рабочем столе обои поменялись на угрожающие с надписями наподобие той, что в заголовке. После загрузки системы запускался сканер, обзывающий себя "TotalSecurity", который находил кучу всякой дряни, компьютер стал неуправляем.
    Используя рекомендованные программы (спасибо создателям форума) здоровье компа я малость поправил (нашлась целая стая разношёрстных вредителей) - основные симптомы болезни исчезли! Но остались, по-видимому, ошибки: после загрузки появляется сообщение: "Access violation at address 00000000. Read of address 00000000." А так же подозрительные процессы в диспетчере.
    Буду рад, если найдётся возможность помочь!
    Прилагаю файлы, полученные согласно инструкции.
    Заранее спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,504
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\waw32.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-2416907968-7715864442-955406475-2865\mwau.exe','');
     DeleteService('MSSystem');
     StopService('MSSystem');
     QuarantineFile('C:\WINDOWS\system32\sysuser\sys.dll','');
     TerminateProcessByName('c:\windows\system32\sysuser\wssfcmai.exe');
     QuarantineFile('c:\windows\system32\sysuser\wssfcmai.exe','');
     TerminateProcessByName('c:\windows\system32\sysuser\system.exe');
     QuarantineFile('c:\windows\system32\sysuser\system.exe','');
     TerminateProcessByName('c:\windows\system32\sysuser\svchost.exe');
     QuarantineFile('c:\windows\system32\sysuser\svchost.exe','');
     DeleteFile('c:\windows\system32\sysuser\svchost.exe');
     DeleteFile('c:\windows\system32\sysuser\system.exe');
     DeleteFile('c:\windows\system32\sysuser\wssfcmai.exe');
     DeleteFile('C:\WINDOWS\system32\sysuser\sys.dll');
     DeleteFile('C:\RECYCLER\S-1-5-21-2416907968-7715864442-955406475-2865\mwau.exe');
     DeleteFile('C:\WINDOWS\waw32.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    27

    Спасибо!

    Поражён Вашей оперативностью!
    Большое спасибо за внимание к моей проблеме!
    Карантин отправил. Процедуры выполнил. Результатом последней проверки по стандартному скрипту 2 стало помещение ещё нескольких файлов в карантин и на скамью подозреваемых - что делать с ними?
    Прилагаю логи.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от androstan Посмотреть сообщение
    что делать с ними?
    -Выполните скрипт
    Код:
    begin
    ClearQuarantine;
    end.
    C:\WINDOWS\SYSTEM32\LANotify.dll - пришлите по правилам приложение 2 и 3 правил

    Вы связаны каким-то образом с этой фирмой?
    inetnum: 194.169.32.0 - 194.169.47.255
    netname: WESTLAND-2
    descr: Westland Helicopters Ltd
    country: GB
    admin-c: RP2440-RIPE
    tech-c: NH655-RIPE
    mnt-by: WESTLAND-MNT
    mnt-by: RIPE-NCC-HM-PI-MNT
    mnt-by: PSINET-MNT
    mnt-lower: RIPE-NCC-HM-PI-MNT
    mnt-domains: WESTLAND-MNT
    mnt-domains: PSINET-MNT
    status: ASSIGNED PI "status:" definitions
    source: RIPE # Filtered
    Если нет - пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{506BC2F1-63BA-4CB8-A2BA-F65AF6E78137}: NameServer = 194.169.35.153
    O17 - HKLM\System\CS1\Services\Tcpip\..\{506BC2F1-63BA-4CB8-A2BA-F65AF6E78137}: NameServer = 194.169.35.153
    O17 - HKLM\System\CS2\Services\Tcpip\..\{506BC2F1-63BA-4CB8-A2BA-F65AF6E78137}: NameServer = 194.169.35.153
    Пока будет проверяться закачанный карантин:

    - Прочитайте Как не стать завсегдатаем раздела Помогите?
    Platform: Windows XP SP2 (WinNT 5.01.2600)
    - Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
    Перед установкой Сервис Пака необходимо выгрузить все защитные приложения (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
    MSIE: Internet Explorer v7.00 (7.00.6000.20696)
    - Установите IE 8
    C:\Program Files\Java\jre1.5.0_12\bin\ssv.dll
    - Обновите JavaRE
    C:\Program Files\Adobe\Reader 8.0
    - Обновите Acrobat Reader
    Последний раз редактировалось Rene-gad; 20.08.2009 в 11:09. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    27
    Rene-gad: Спасибо за Ваши замечания по поводу уязвимостей, абсолютно согласен, всё учту.
    Карантин выслал.
    С компанией Westland Helicopters никак не связаны, кстати, а что может означать наличие этих строк?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от androstan Посмотреть сообщение
    Карантин выслал.
    Файл по ВТ чистый, вердикта экспертов надо обождать
    Цитата Сообщение от androstan Посмотреть сообщение
    кстати, а что может означать наличие этих строк?
    Что зловред поработал.
    Строки пофиксили?
    Какие еще жалобы есть?

  8. #7
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    27
    В данный момент я географически отделён от той машины, поэтому пофиксить ещё не успел, но как тока доберусь отпишу.

    Добавлено через 2 часа 8 минут

    Строки при помощи HJT пофиксил.
    Жду теперь вердикта по карантину.
    Особых нареканий на работу компа нет, однако система очень долго отключается - чуть больше минуты, хотя может это и не так критично, что скажете?
    Последний раз редактировалось androstan; 20.08.2009 в 17:17. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2996
    Цитата Сообщение от androstan Посмотреть сообщение
    Жду теперь вердикта по карантину.
    вердикт - чистый
    Цитата Сообщение от androstan Посмотреть сообщение
    истема очень долго отключается - чуть больше минуты, хотя может это и не так критично, что скажете?
    Пуск/Выполнить, набрать regedit + ВВОД.
    Значение параметра WaitToKillAppTimeout в ключе HKEY_CURRENT_USER\Control Panel\Desktop указывает время, отпущенное на закрытие программ, в миллисекундах. Уменьште его для начала вдвое.

  10. #9
    Junior Member Репутация
    Регистрация
    19.08.2009
    Сообщений
    16
    Вес репутации
    27
    Если я правильно понял чистый карантин означает, что эти файлы надо/можно восстановить?
    Победа значит!
    Спасибо большое за помощь всем участникам проекта! Первый раз на моей памяти такой бардак удалось устранить без потерь!
    Как говорится: респект и уважуха!!!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от androstan Посмотреть сообщение
    Если я правильно понял чистый карантин означает, что эти файлы надо/можно восстановить?
    А их никто и не удалял.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,525
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) androstan, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. На рабочем столе WARNING!Spyware detected on your computer!
      От Cocojumbo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:41
    2. Warning! Spyware detected on your computer на рабочем столе
      От Stepus в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:37
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    4. Warning! Spyware detected on your computer! на рабочем столе.
      От Borsch в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:27
    5. Ответов: 7
      Последнее сообщение: 22.02.2009, 06:13

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00652 seconds with 23 queries