после ремонта компа периодически выскакивает окно с надписью Windows Security Alert "Warning! Potential Spyware Operation!" Dr Web не показывает ни одного вируса
Printable View
после ремонта компа периодически выскакивает окно с надписью Windows Security Alert "Warning! Potential Spyware Operation!" Dr Web не показывает ни одного вируса
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('hal.exe','');
QuarantineFile('Explorer.exe C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\sulimo.dat','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('\SystemRoot\System32\Drivers\FMTR.sys','');
QuarantineFile('\SystemRoot\system32\SetupNT.sys','');
DeleteFile('c:\windows\system32\printer.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\WINDOWS\system32\sulimo.dat');
BC_ImportALL;
ClearHostsFile;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
и еще один скрипт...
[code]
begin
ExecuteRepair(1);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
RebootWindows(true);
end.
[/code]
Установленный на компьютере DrWeb устарел, скачайте новую версию с сайта [url]http://download.drweb.com/win[/url] и установите.
Спасибо. Один день работало нормально, но после выключения компа это окошко снова появилось! А вирусов по прежнему нет
А Вы повторите логи :)
Вот
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [HAL] hal.exe
O4 - HKLM\..\Run: [AVSystemCare] C:\Program Files\AVSystemCare\pgs.exe
O4 - HKLM\..\Run: [ugcw] "C:\PROGRA~1\COMMON~1\AVSYST~1\ugcw.exe" -start
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKLM\..\RunServices: [HAL] hal.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
[/code]
Не перезагружаясь после этого, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Common Files\AVSystemCare\bm.exe');
DeleteFile('C:\PROGRA~1\COMMON~1\AVSYST~1\ugcw.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\Documents and Settings\Оля\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\Program Files\AVSystemCare\pgs.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
DeleteFile('hal.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки обновите базы AVZ и сделайте новые логи.
Спасибо! Вроде пока все в норме. Вот логи
Все чисто.
Удалите папки:
C:\Program Files\Common Files\AVSystemCare
C:\Program Files\AVSystemCare
Посмотрите, что из этого не нужно - отключим:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Все повторяется... Я выполняю скрипты, день работает нормально, я его выключаю, а с утра все повторяется.
1. Пофиксите:
[QUOTE]F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O23 - Service: Abcpi0rpdlter - - (no file)
[/QUOTE]
2. Не перезагружаясь выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\printer.exe');
DeleteFile('c:\documents and settings\Оля_2\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
BC_ImportDeletedList;
ExecuteRepair(5);
ExecuteRepair(8);
ExecuteRepair(13);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Восстановление системы: включено .... отключите ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\all users\\главное меню\\программы\\автозагрузка\\autorun.exe - [B]Trojan.Win32.Qhost.po[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\documents and settings\\оля\\главное меню\\программы\\автозагрузка\\system.exe - [B]Trojan.Win32.Qhost.po[/B] (DrWEB: Trojan.Fakealert.357)[*] c:\\windows\\system32\\drivers\\fmtr.sys - [B]not-a-virus:FraudTool.Win32.BestSeller.a[/B] (DrWEB: Program.Winfixer)[*] c:\\windows\\system32\\winavxx.exe - [B]Trojan.Win32.Qhost.po[/B] (DrWEB: Trojan.Fakealert.357)[/LIST][/LIST]