Рабочий стол Warning! Spyware detected on your computer
После посещения одного из сайтов появилась пробелам как у многих .На рабочем столе надпись на синем фоне появилась надпись Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer. После этого на вкладке свойств рабочего стола пропали закладки "Рабочий стол" и "Заставка". Появляется скринсейвер с имитацией выдачи ошибки в файле *.sys и последующей имитацией перезагрузки.
Last edited by PEPPER; 07-10-2008 at 09:18 PM.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Да, уж. Куча зверья, плю остатки Касперского.
До чего довели бедный компьютер.
1.Скачать IceSword.
В нем удалить:
D:\WINDOWS\system32\Drivers\Winxe17.sys
D:\WINDOWS\system32\WinCtrl32.dll
2.Выполнить скрипт:
Загрузить карантин по Красной ссылке.Code:begin ClearHostsFile; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com',''); DelBHO('{C8A3B994-E27A-42f5-A053-C63799E621FB}'); QuarantineFile('byrone.dll',''); QuarantineFile('K:\Tempor\psyche.exe',''); QuarantineFile('D:\WINDOWS\system32\n7071\sv711600230r.exe',''); QuarantineFile('D:\WINDOWS\system32\mswmsys.dll',''); QuarantineFile('D:\WINDOWS\system32\blphcgdcj0ejj0.scr',''); QuarantineFile('D:\WINDOWS\services.exe',''); QuarantineFile('D:\Program Files\Internet Explorer\shwdltms.bin',''); QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\dv6160020x\yesbron.com',''); DeleteService('Wej06'); DeleteService('Vci51'); DeleteService('Syf06'); DeleteService('Saf16'); DeleteService('Rye16'); DeleteService('Qwc41'); DeleteService('Mub16'); DeleteService('Mty73'); DeleteService('Msy27'); DeleteService('Agl06'); QuarantineFile('D:\WINDOWS\system32\msdnc1.exe',''); DeleteService('ThemesSSDPSRV'); DeleteService('lich'); DeleteService('FCI'); QuarantineFile('D:\WINDOWS\system32\Drivers\Winxe17.sys',''); QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys',''); QuarantineFile('D:\WINDOWS\system32\DRIVERS\beeper.sys',''); QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('D:\WINDOWS\system32\DRIVERS\beeper.sys'); DeleteFile('D:\WINDOWS\system32\Drivers\Winxe17.sys'); DeleteFile('D:\WINDOWS\system32\fci.exe'); DeleteFile('D:\WINDOWS\system32\lich.exe'); DeleteFile('D:\WINDOWS\system32\msdnc1.exe'); DeleteFile('D:\WINDOWS\System32\Drivers\Agl06.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Msy27.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Mty73.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Mub16.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Qwc41.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Rye16.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Saf16.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Syf06.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Vci51.sys'); DeleteFile('D:\WINDOWS\System32\Drivers\Wej06.sys'); DeleteFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\dv6160020x\yesbron.com'); DeleteFile('D:\Program Files\Internet Explorer\shwdltms.bin'); DeleteFile('D:\WINDOWS\services.exe'); DeleteFile('D:\WINDOWS\system32\blphcgdcj0ejj0.scr'); DeleteFile('D:\WINDOWS\system32\n7071\sv711600230r.exe'); DeleteFile('byrone.dll'); BC_ImportDeletedList; ExecuteSysClean; ExecuteRepair(5); ExecuteRepair(6); BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все выполнил. Огромное спасибо.
Логи в приложении.
Last edited by PEPPER; 07-10-2008 at 09:18 PM.
пофиксите
выполните скрипт...Code:R3 - URLSearchHook: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file) O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\ O20 - Winlogon Notify: WLCtrl32 - D:\WINDOWS\
пришлите карнтин согласно приложения 3 правилCode:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com',''); QuarantineFile('K:\Tempor\psyche.exe',''); QuarantineFile('D:\WINDOWS\system32\userinit.exe',''); BC_DeleteSvc('Beep'); QuarantineFile('D:\WINDOWS\system32\DRIVERS\beeper.sys',''); QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys',''); BC_DeleteSvc('ThemesSSDPSRV'); QuarantineFile('D:\WINDOWS\system32\msdnc1.exe',''); DeleteFile('D:\WINDOWS\system32\msdnc1.exe'); DeleteFile('D:\WINDOWS\system32\DRIVERS\beeper.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
fci.exe_ - Trojan.Win32.Obfuscated.jin (свежий) - удален.
services.exe_ - Trojan.Win32.Pakes.jrs,
WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.all - также удалены.
Что за задание в "Планировщике" знаете?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил. Крантин выслал. Логи в приложении.
Нет в планировщике что за зажания не знаю. я туда сам ничего не добавлял.
Last edited by PEPPER; 07-17-2008 at 12:33 AM.
пофиксите ...
D:\WINDOWS\system32\userinit.exe VirTool:Win32/DelfInject.gen!AMCode:O21 - SSODL: SysChk - {94A6E551-61BE-490C-86A5-6821E8AD412E} - D:\Program Files\Internet Explorer\shwdltms.bin (file missing) O21 - SSODL: MSWM - {24B0F496-4150-4D34-B1B6-EE9DD0AA408A} - mswmsys.dll (file missing)
нужно заменить на чистый из дистрибутива ...
задания в планировщике удалите ...
K:\Tempor\psyche.exe , D:\WINDOWS\system32\kdngu.exe - пришлите согласно приложения 2 правил ...
Удаление задания в "Планировщике" - Панель управления - Планировщик.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Подскажите пожайлуста, при замене файла из дистрибутива какие команды надо делать в консоли восстановления.
expand x:\i386\userinit.ex_ y:\windows\system32\userinit.exe
x - буква CD, y - буква диска с windows xp
Сколько раз не пытался. при выполнении команды пишет "не удается создать файл". В чем дело.
приведите точную строку которую вы вводите ....
Точная строка.
expand J:\i386\userinit.ex_ D:\windows\system32\userinit.exe
Здесь фото с монитора в этот момент
http://i002.radikal.ru/0807/1a/3fd3462a922c.jpg
В моем компьютере появилась папка "веб-папки". Раньше ее не было.
Еще такая проблема.
Постоянно сбивается авторизация. Захожу на форумы любые логинюсь. как только закрываю страницу при новом заходе приходится заново логиниться. Также в IE возникает часто окно. "На этой странице произошла ошибка сценария".
убрать веб папки просто ....
нсчет не распаковывает- странно .... возьмите отсюда распакованый http://slil.ru/25985437Code:begin RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); end.
Скопировал через cmd
Last edited by PEPPER; 07-16-2008 at 09:59 PM.
давайте новые логи ...
Карантин по файлам выслал. файл заменил.
Проблема с ошибками в IE и постоянным сбоем авторизации осталась.
Прикрепляю новые логи.
Last edited by PEPPER; 07-17-2008 at 12:33 AM.
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ...Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\mssrv32.exe',''); RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}'); QuarantineFile('D:\WINDOWS\Downloaded Program Files\popcaploader.dll',''); QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com',''); QuarantineFile('D:\WINDOWS\system32\n7071\sv711600230r.exe',''); QuarantineFile('K:\Tempor\psyche.exe',''); QuarantineFile('K:\Tempor\winlogon.exe',''); QuarantineFile('D:\WINDOWS\system32\ntos.exe',''); QuarantineFile('D:\WINDOWS\system32\kdngu.exe',''); QuarantineFile('D:\WINDOWS\iexplorer.exe',''); DeleteFile('D:\WINDOWS\iexplorer.exe'); DeleteFile('D:\WINDOWS\system32\kdngu.exe'); DeleteFile('D:\WINDOWS\system32\ntos.exe'); DeleteFile('D:\WINDOWS\system32\n7071\sv711600230r.exe'); DeleteFile('D:\WINDOWS\Downloaded Program Files\popcaploader.dll'); DeleteFile('D:\WINDOWS\system32\mssrv32.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Все выполнил.
Новые логи прикрепляю.
Last edited by PEPPER; 10-02-2008 at 08:05 PM.
скачайте D:\WINDOWS\system32\drivers\mickey32.sys, D:\WINDOWS\system32\drivers\Wywh63.sys - force delete
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ....Code:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('mickey32'); DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}'); QuarantineFile('haskel32.dll',''); QuarantineFile('Wywh63.sys',''); DeleteFile('Wywh63.sys'); BC_DeleteSvc('Wywh63'); DeleteFile('haskel32.dll'); DeleteFile('D:\WINDOWS\system32\drivers\mickey32.sys'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; end.
повторите логи ...
еще раз справшиваю задания в планировщике ваше ? если нет удалите ....
Уважаемый(ая) PEPPER, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Posting Permissions
