Warning! Spyware detected on your computer! и winlogon

Printable View

17.08.2008, 16:24
-Vampir-

Вложений: 3

Warning! Spyware detected on your computer! и winlogon

собстевенно бумаю известная вам проблема, потомучто тут она очень часто обсуждается.
Расскажу всё как было:
в ночь 17.08
примерно с 12 часов ночи. я не заходил ни накакие подозрительные, если быть точнее то я находился тока на своём сайте( csplay.net.ru ), работал с html.
в 0:45 у меня зависла opera, я закрыл её через 3 кнопки, тут nod32 выдал сообщение: " 0:48:13 Защита файловой системы в режиме реального времени C:\WINDOWS\system32\1042t.dll Win32/Spy.Agent.NHN троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe. ;
0:47:37, Защита файловой системы в режиме реального времени, файл C:\WINDOWS\System32\drivers\Winbg37.sys, Win32/Wigon.CK троянская программа, очищен удалением - изолирован, NT AUTHORITY\SYSTEM, Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\E3A5~1.BC0\LOCALS~1\Temp\BN28F2.tmp. "
Потом я свернул все окна и увидел новый фон рабочего стола ( табличка warning )
я отключит интернет, потытался вернуть обычный рабочий стол через свойства, но там не оказалось вкладок "фон" и "заставка", дальше я зашёл через "gpedit.msc" и отключил скрытие этих вкладок, дальше я зашол в свойства-фон, обнаружил что у меня стоит рисунок " blphc97lj0e1d9.bmp ", через поиск я нашол в sistem32 файлы " blphc97lj0e1d9.scr , *exe, *bmp " и удалил их, также удалил все записи в реестре с именем "blphc97lj0e1d9"
но мне никак не удалось удалисть и отключить файлы "Winctrl32.dll; Winlogon.exe; ~.exe"
просмотрел логи фаирвола, я обнаружил что с 0:50 до 1:15 Обнаружена атака DNS cache poisoning , по 10 попыток в секунду
также при подлючении интернета nod 32выдаёт: "14:00:39, Защита файловой, файл: C:\WINDOWS\System32\drivers\Winwc15.sys, Win32/Wigon.CK троянская программа, очищен удалением - изолирован, NT AUTHORITY\SYSTEM, Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN306.tmp. " каждый раз название sys файла разное
ладно закончу мучать вас своим расказом,
Некоторые симптомы: 1-При первой закрузке компа пропал доступ к звуковой карте, точнее звук приложений был, но музыку не воспроизводил. 2-Иногда подключение интернета работало в скрытом режиме ( всё выгледело как будто интернет отклчен, но смотреть сайты можно было.
от заставки мне удалось избавился, но никак не могу избавится от winlogon и прочего
17.08.2008, 16:47
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winbg37.sys
C:\WINDOWS\System32\Drivers\Winwc15.sys
C:\WINDOWS\System32\Drivers\Winmr72.sys
C:\WINDOWS\system32\WinCtrl32.dll
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('lanmanworkstationupnphost');
DeleteService('TapiSrvidsvc');
DeleteService('Winbg37');
DeleteService('Winmr72');
DeleteService('Winwc15');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc15.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg37.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr72.sys','');
QuarantineFile('C:\DOCUME~1\E3A5~1.BC0\LOCALS~1\Temp\loader.exe','');
QuarantineFile('C:\\dvt.exe','');
DeleteFile('C:\\dvt.exe');
DeleteFile('C:\WINDOWS\system32\lphc97lj0e1d9.exe');
DeleteFile('C:\DOCUME~1\E3A5~1.BC0\LOCALS~1\Temp\loader.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winbg37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winmr72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc15.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('lanmanworkstationupnphost');
BC_DeleteSvc('TapiSrvidsvc');
BC_DeleteSvc('Winbg37');
BC_DeleteSvc('Winmr72');
BC_DeleteSvc('Winwc15');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
17.08.2008, 18:38
-Vampir-

Вложений: 3

всё сделал, вот новые логи
З.Ы. файлы Winbg37.sys, Winwc15.sys,Winmr72.sys у меня удалил nod32 как Win32/Wigon.CK троянская программа
З.Ы.Ы. у меня чёт очень часто обрывается инет, хотя может это и не из-за этого
17.08.2008, 19:08
Rene-gad

[QUOTE=-Vampir-;268971]
З.Ы. файлы Winbg37.sys, Winwc15.sys,Winmr72.sys у меня удалил nod32 как Win32/Wigon.CK троянская программа[/QUOTE]А Вы должны были выключить Антивирус - в правилах написано + я еще для танкистов специально написал.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]

Удалите Spyware Process Detector и Ad-Aware - они ничего - кроме проблем - не добавляют.

Повторите логи начиная от п.10 правил.
17.08.2008, 19:38
-Vampir-

[QUOTE=Rene-gad;268982]А Вы должны были вылкючить Антивирус - в правилах написано + я еще для танкистов специально написал.
[/QUOTE]
так он к меня их давно заблокировал, еще как тока они появились

а Spyware Process Detector я еще давно удалил, хм...

ща сделаю
17.08.2008, 20:04
-Vampir-

Вложений: 2

вот всё сделал, воть логи ( с 10 пункта )

З.Ы. Spyware Process Detector я удалил, но прост значиние в реестре осталось
17.08.2008, 20:11
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL] если хотите удалить остатки Spyware Process Detector
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('spydetector');
DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('spydetector');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Установите Сервис Пак 3 + последующие патчи - это намного важнее, чем все защитные программы вместе взятые.

Почитайте нашу священную книгу: [url]http://security-advisory.virusinfo.info/[/url]
17.08.2008, 20:14
-Vampir-

эт всё? Спасибо большое!))
22.02.2009, 07:09
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.axq[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]