-
Junior Member
- Вес репутации
- 57
Нужна помощь
На моём ноутбуке 2 проблемы:1.На экране появляются рекламные баннеры о порносайтах, одноклассниках, антивирусе SpyDefender. 2. По экрану начинают летать зелёные "ёжики" с надписью в центре экране что файлы на компьютере начнут удаляться через 20 минут. Эти две проблемы появляются только после того, когда компьютер подключается к интернету. Все требования правил выполнены, 3 файла прилогается
С уважением Олег
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
"Пофиксите" в HijackThis
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
В AVZ -> файл-> Выполнить скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\rup110.exe','');
QuarantineFile('C:\Temp\svchost.exe','');
DelCLSID('{82C885EE-6B87-4D51-9EF4-0CFE9FADA900}');
QuarantineFile('C:\Documents and Settings\MyNotebook\Application Data\AdSubscribe\AdSubscribe.dll','');
DelBHO('{B8F88615-A49E-4443-A26F-E97379BE1B1A}');
QuarantineFile('C:\DOCUME~1\MYNOTE~1\APPLIC~1\Aldea\Aldea.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyh64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyg64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwf20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwe18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winve64.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winve53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winve42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winve31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsb86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsb75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsb31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winry75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winra18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqy42.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpw75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winow85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winow63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winow31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winov20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnv07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winnu18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmu18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmt74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winls86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winks86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winks75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winks53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winks31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjq86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winiq31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winip20.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhp07.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingo75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn18.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfn31.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincj75.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbj53.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbj42.sys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\WinCtrl32','DLLName');
DeleteFile('C:\DOCUME~1\MYNOTE~1\APPLIC~1\Aldea\Aldea.dll');
DeleteFile('C:\Documents and Settings\MyNotebook\Application Data\AdSubscribe\AdSubscribe.dll');
DeleteFile('c:\rup110.exe');
DeleteFile('C:\Temp\svchost.exe');
BC_Importall;
BC_DeleteSvc('Winyh64');
BC_DeleteSvc('Winyg64');
BC_DeleteSvc('Winwf20');
BC_DeleteSvc('Winwe20');
BC_DeleteSvc('Winwe18');
BC_DeleteSvc('Winve64');
BC_DeleteSvc('Winve53');
BC_DeleteSvc('Winve42');
BC_DeleteSvc('Winve31');
BC_DeleteSvc('Winsb86');
BC_DeleteSvc('Winsb75');
BC_DeleteSvc('Winsb31');
BC_DeleteSvc('Winsa86');
BC_DeleteSvc('Winsa31');
BC_DeleteSvc('Winry75');
BC_DeleteSvc('Winra18');
BC_DeleteSvc('Winqy42');
BC_DeleteSvc('Winpw75');
BC_DeleteSvc('Winow85');
BC_DeleteSvc('Winow63');
BC_DeleteSvc('Winow31');
BC_DeleteSvc('Winov20');
BC_DeleteSvc('Winnv07');
BC_DeleteSvc('Winnu18');
BC_DeleteSvc('Winmu18');
BC_DeleteSvc('Winmt74');
BC_DeleteSvc('Winls86');
BC_DeleteSvc('Winks86');
BC_DeleteSvc('Winks75');
BC_DeleteSvc('Winks53');
BC_DeleteSvc('Winks31');
BC_DeleteSvc('Winjq86');
BC_DeleteSvc('Winiq31');
BC_DeleteSvc('Winip20');
BC_DeleteSvc('Winhp07');
BC_DeleteSvc('Wingo75');
BC_DeleteSvc('Wingn18');
BC_DeleteSvc('Winfn86');
BC_DeleteSvc('Winfn31');
BC_DeleteSvc('Wincj75');
BC_DeleteSvc('Winbj53');
BC_DeleteSvc('Winbj42');
BC_DeleteSvc('wscsvcHidServkavsvc');
BC_DeleteSvc('wscsvcHidServ');
BC_DeleteSvc('W32TimeDcomLaunch');
BC_DeleteSvc('VSSImapiService');
BC_DeleteSvc('TlntSvrSSDPSRV');
BC_DeleteSvc('Themesdmserver');
BC_DeleteSvc('TermServiceWebClientdmadmin');
BC_DeleteSvc('TermServiceWebClient');
BC_DeleteSvc('TapiSrvImapiService');
BC_DeleteSvc('stisvckavsvc');
BC_DeleteSvc('ScheduleCOMSysAppERSvcdmadminMSIServer');
BC_DeleteSvc('ScheduleCOMSysAppERSvcdmadmin');
BC_DeleteSvc('ScheduleCOMSysApp');
BC_DeleteSvc('SCardSvrNtLmSsp');
BC_DeleteSvc('RDSessMgrWmiApSrv');
BC_DeleteSvc('NtLmSspseclogon');
BC_DeleteSvc('NetmanEventSystem');
BC_DeleteSvc('Netlogonstisvc');
BC_DeleteSvc('MSIServerScheduleCOMSysApp');
BC_DeleteSvc('MSIServerRDSessMgrWmiApSrv');
BC_DeleteSvc('lxdb_deviceXAudioService');
BC_DeleteSvc('lxdb_devicePlugPlay');
BC_DeleteSvc('lanmanserverNetlogonstisvc');
BC_DeleteSvc('IrmonEventlogClipSrvEventSystemaspnet_state');
BC_DeleteSvc('IrmonEventlog');
BC_DeleteSvc('helpsvcsrservice');
BC_DeleteSvc('helpsvcSCardSvr');
BC_DeleteSvc('helpsvcSamSs');
BC_DeleteSvc('EventSystemaspnet_stateNetDDE');
BC_DeleteSvc('EventSystemaspnet_stateMSIServer');
BC_DeleteSvc('EventSystemaspnet_state');
BC_DeleteSvc('EventlogAudioSrv');
BC_DeleteSvc('ERSvcRpcLocator');
BC_DeleteSvc('ERSvcdmadmin');
BC_DeleteSvc('clr_optimization_v2.0.50727_32xmlprovTermServiceWebClientdmadmin');
BC_DeleteSvc('clr_optimization_v2.0.50727_32xmlprov');
BC_DeleteSvc('ClipSrvEventSystemaspnet_state');
BC_DeleteSvc('BrowserTapiSrvImapiService');
BC_DeleteSvc('BITSPolicyAgent');
BC_DeleteSvc('aspnet_stateSharedAccesswuauserv');
BC_DeleteSvc('aspnet_stateSharedAccessCOMSysApp');
BC_DeleteSvc('aspnet_stateSharedAccess');
BC_DeleteSvc('aspnet_stateMSDTC');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно правил по ссылке Прислать запрошенный карантин.
Повторите логи по правилам.
-
-
Junior Member
- Вес репутации
- 57
баннеров нету, а ёжики остались
Рекламные баннеры исчезли, спасибо, а ёжики продолжают летать. Вот четыре файла которые Вы просили прислать после повторной проверки
Последний раз редактировалось AndreyKa; 29.12.2009 в 13:45.
-
Junior Member
- Вес репутации
- 57
Всё таки баннеры опять начали появляться
Всё таки баннеры опять начали появляться
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{D540B3B0-7DA0-4AA5-B548-236124A56CD0}');
QuarantineFile('C:\Program Files\RMNetwork\webagent.dll','');
DelCLSID('{E2085722-3AC0-4411-A14B-906AFE1A75C4}');
QuarantineFile('C:\Program Files\Adobe\adrouter.dll','');
DeleteFile('C:\Program Files\Adobe\adrouter.dll');
DeleteFile('C:\Program Files\RMNetwork\webagent.dll');
DeleteFileMask('C:\Program Files\RMNetwork', '*.*', true);
DeleteDirectory('C:\Program Files\RMNetwork');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Повторные логи и карантин
Последний раз редактировалось Numb; 29.12.2009 в 13:45.
-
Выполните скрипт в AVZ
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('E:\autorun.inf','');
QuarantineFile('C:\Temp\svchost.exe','');
DeleteFile('C:\Temp\svchost.exe');
DeleteFile('E:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи + сообщите, что с баннерами и ежиками
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 57
Всё хорошо
Ёжики и баннеры исчезли, спасибо. Отсылаю новые логи. Карантин отсылаю с прошлого раза, так как после запуска последнего скрипта все подозрительные файлы удалены
-
Чисто
Установите SP3 (может потребоваться активация) + все новые заплатки
Установите Internet Explorer 8
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 29
- В ходе лечения обнаружены вредоносные программы:
- c:\program files\rmnetwork\webagent.dll - not-a-virus:AdWare.Win32.PopAd.ai
-