Выскакивает окно с Warning! и др.

**andy_scorpio** · 24.03.2008, 06:01

3 дня назад устновил псевдо кодек и с тех пор у меня выскакивает оное сообщение "Your computer was infected by unknown trojan. It's dangerous for your system (critical files can be lost)! Click OK to download the antispyware program to clean your system!(recommended)". Прогуглил и вышел на этот сайт. Тут уже были эти проблемы. Так же я заметил что AVZ нашел еще какие-то вещи, возможно это и вирусы.
Не судите строго если чего, это мой первый пост с этим сайтом.

Спасибо.
P.S. наличие большого кол-ва процессов в трее из-за ПО производителя (Sony).

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 24.03.2008, 09:35

Впечатление такое, что логи AVZ с одного компьютера, а HijackThis - с другого.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL','');
 QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL','');
 QuarantineFile('sysfldr.dll','');
 QuarantineFile('ibutu.dll','');
 QuarantineFile('WLCtrl32.dll','');
 QuarantineFile('LogCrypt.dll','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\Fsd9mk4g.dll','');
 QuarantineFile('C:\WINDOWS\mmhren1.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\lsass.exe','');
 QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Sye51.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\kcp.sys','');
 QuarantineFile('C:\WINDOWS\system32\Microsoft\svchost.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\spool.exe','');
 QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\svc32_1.exe','');
 QuarantineFile('C:\WINDOWS\system32\mnmsrvc.exe','');
 QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
 DeleteFile('C:\WINDOWS\system32\_svchost.exe');
 DeleteFile('C:\WINDOWS\system32\mnmsrvc.exe');
 DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\svc32_1.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\spool.exe');
 DeleteFile('C:\WINDOWS\system32\Microsoft\svchost.exe');
 DeleteFile('C:\WINDOWS\system32\drivers\kcp.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Sye51.sys');
 DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Application Data\cftmon.exe');
 DeleteFile('C:\WINDOWS\TEMP\lsass.exe');
 DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
 DeleteFile('C:\WINDOWS\mmhren1.exe');
 DeleteFile('C:\WINDOWS\system32\Fsd9mk4g.dll');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\system32\LogCrypt.dll');
 DeleteFile('C:\WINDOWS\system32\WLCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\ibutu.dll');
 DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
 DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\2.bin\MWSSRCAS.DLL');
 DeleteFile('C:\Program Files\MyWebSearch\bar\2.bin\MWSBAR.DLL');
BC_ImportDeletedList;
BC_DeleteSvc('Sye51');
BC_DeleteSvc('NdisWon');
BC_DeleteSvc('Ktt60');
BC_DeleteSvc('kcp');
BC_DeleteSvc('WinSecurServ05');
BC_DeleteSvc('Schedule');
BC_DeleteSvc('PolicyAgent');
BC_DeleteSvc('mnmsrvc');
BC_DeleteSvc('Microsoft PS Service');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=20326).

Отключите восстановление системы.
Обновите базы AVZ.
Сделайте новые логи.

**andy_scorpio** · 24.03.2008, 12:03

после выполнения скрипта в карантине ниего не появляется. Все что мог из трея выгрузил, восстановление системы отключил... После перезагрузки появляется раздел карантина в AVZ с датой образования. Но она абсолютно пуста.

**V_Bond** · 24.03.2008, 12:15

сделайте новые логи ...

**andy_scorpio** · 24.03.2008, 13:08

скачал AVZ и hijackthis по ссылкам с вашего сайта и делал ими перескан.

**akok** · 24.03.2008, 13:41

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\Scorpio\My Documents\lg\avito3gp.exe','');
 QuarantineFile('fusstub.dll','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\WINDOWS\system32\oyvhuyyx.dll','');
 QuarantineFile('C:\Program Files\Common Files\Protector Suite QL\Drivers\FdRedir.sys','');
 QuarantineFile('C:\Program Files\Microsoft SQL Server\MSSQL$MICROSOFTBCM\Binn\sqlservr.exe','');
 DeleteFile('C:\WINDOWS\system32\oyvhuyyx.dll');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
 DelBHO('{CACA7731-9C77-464A-B1B7-462281DD8164}');
 DelBHO('{B89C65C9-A4F6-4540-897F-D2AB01D0CE1D}');
 DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
 DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
 DelBHO('{55DB983C-BDBF-426f-86F0-187B02DDA39B}');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=20326

Добавлено через 4 минуты

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 	O20 - Winlogon Notify: winexy32 - C:\WINDOWS\
	O20 - Winlogon Notify: ddcbxyx - C:\WINDOWS\
	O20 - Winlogon Notify: mllmk - C:\WINDOWS\

Повторите логи

**andy_scorpio** · 24.03.2008, 14:00

Файлы послал.
P.S. вы два раза указали на строчку - "O20 - Winlogon Notify: ddcbxyx - C:\WINDOWS\"
Может вы имели ввиду - "O20 - Winlogon Notify: mllmk - C:\WINDOWS\"?
Потому что там только один ddcbxyx.
Спасибо.

**Bratez** · 24.03.2008, 15:18

Да, вы правильно поняли.

И еще - пришлите по правилам вот этот файлик:
C:\WINDOWS\ausctv32a.dll

**andy_scorpio** · 24.03.2008, 15:31

Сделано =)

**Bratez** · 24.03.2008, 17:05

ausctv32a.dll - Trojan-Downloader.Win32.Delf.gbc
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\ausctv32a.dll');
 BC_DeleteFile('C:\WINDOWS\ausctv32a.dll');
ExecuteSysClean;
BC_Activate;
DelBHO('{D2A8552D-4340-413E-B94E-245827FBC269}');
RebootWindows(true);
end.

Сделайте новые логи.

**andy_scorpio** · 24.03.2008, 17:58

Окно с Warning перестало загружать!! Есть ли еще какие-нубудь бяки?

**V_Bond** · 24.03.2008, 20:46

кроме покерного клиента - ничего подозрительного ...

**andy_scorpio** · 24.03.2008, 21:27

Вот и здорово! Спасибо всем кто помог!!!

**wise-wistful** · 24.03.2008, 22:30

Нам интересно Ваше мнение о нашей работе, будем очень благодарны за ответ. Ваш ответ поможет нам улучшить оказание помощи.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи и чистого интернета

**CyberHelper** · 22.02.2009, 04:34

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 24
В ходе лечения обнаружены вредоносные программы:
1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.r (DrWEB: Trojan.BitAcc)
2. c:\\windows\\ausctv32a.dll - Trojan-Downloader.Win32.Delf.gbc (DrWEB: Trojan.Click.17920)

Выскакивает окно с Warning! и др. (заявка № 20326)

Опции темы

Выскакивает окно с Warning! и др.

Итог лечения

Похожие темы

Выскакивает окно при старте виндовз

При запуске выскакивает окно что не

Выскакивает окно при загрузке

Выскакивает окно ошибки

Выскакивает окно WARNING! VIRUS DETECTED!

Ваши права в разделе