Троян с сообщением Warning SpyWare detected

Printable View

27.06.2008, 15:32
_AI_

Вложений: 3

Троян с сообщением Warning SpyWare detected

Вчера (26.06.08) была такая тема, симптомы теже пытался искать и чистить, но как вернуть вкладки свойств экрана, которые заблокированы???
27.06.2008, 15:38
Bratez

[b]Отключите восстановление системы![/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blphc35gj0er15.scr','');
QuarantineFile('C:\WINDOWS\msvupdater.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlagon.exe','');
QuarantineFile('C:\WINDOWS\TEMP\csrssc.exe','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.dll','');
QuarantineFile('C:\Documents and Settings\A.Ivanov\ie_updates3r.exe','');
QuarantineFile('C:\Program Files\Common Files\System\apcsvra.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Wincr57.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Onv73.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Onv73.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\Wincr57.sys');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.exe');
DeleteFile('C:\Documents and Settings\A.Ivanov\ie_updates3r.exe');
DeleteFile('C:\Program Files\Common Files\System\apcsvra.dll');
DeleteFile('C:\WINDOWS\TEMP\csrssc.exe');
DeleteFile('C:\WINDOWS\TEMP\winlagon.exe');
DeleteFile('C:\WINDOWS\msvupdater.exe');
DeleteFile('C:\WINDOWS\system32\blphc35gj0er15.scr');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winve81');
BC_DeleteSvc('Winuo76');
BC_DeleteSvc('Wintv34');
BC_DeleteSvc('Wintr03');
BC_DeleteSvc('apcsvra');
BC_DeleteSvc('Wincr57');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('Onv73');
BC_DeleteSvc('Google Online Services');
BC_DeleteSvc('apcsvra32');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=25437[/url]).
Сделайте новые логи, начиная с п.10 правил.
27.06.2008, 15:58
_AI_

Вложений: 2

Логи прилагаются
27.06.2008, 16:11
_AI_

Карантин отправил
27.06.2008, 16:47
Гриша

Восстановление системы религия не позволяет отключить?8)

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winve81');
DeleteService('Winuo76');
DeleteService('Wintv34');
DeleteService('Wintr03');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintr03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintv34.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuo76.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winve81.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winve81 ');
BC_DeleteSvc('Winuo76 ');
BC_DeleteSvc('Wintv34 ');
BC_DeleteSvc('Wintr03 ');
BC_Activate;
RebootWindows(true);
end.[/CODE]

Скачайте свежий HJT и повторите логи...
27.06.2008, 17:55
_AI_

Вложений: 2

Сделал
27.06.2008, 18:48
Rene-gad

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O22 - SharedTaskScheduler: Hkjr94jdfdgj - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O22 - SharedTaskScheduler: Hjkfj93dffd - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
[/CODE]
Перегрузитесь и повторите лог Хайджека.
27.06.2008, 18:56
_AI_

Вложений: 1

Лог
27.06.2008, 18:57
Rene-gad

ОК. Какие проблемы наблюдаете? Если никаких - нам было бы интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Нужно установить Сервис Пак 3 (SP3).
27.06.2008, 19:08
_AI_

Все больше никаких. Спасибо большое всем кто откликнулся, очень помогли. Сервис пак уже ставлю:) еще раз всем большое спасибо!!!
22.02.2009, 06:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]