Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Помогите. (заявка № 28147)

  1. #1
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58

    Exclamation Помогите.

    На компьютере таниственным образом появился Spyware. На рабочем столе постоянный синий экран с надписью,что то вроде "Spyware Detected , install antivirus to clean computer". Вкладка "Рабочий стол" заблокирована.

    Логи прилагаются. Пожалуйста,помогите.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys','');
     QuarantineFile('C:\Documents and Settings\User\Мои документы\Test_D3D10.exe','');
     QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\loader.exe','');
     DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\loader.exe');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(5);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    Сделал всё,как вы мне и сказали. К сожалению,проблема не пропала. ;( Новые логи. Карантин отправил по правилам.
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Поищите и пришлите (см. Приложения 2 и 3 правил) этот файл:
    Код:
    C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys
    Он в карантин не попал.

  6. #5
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    Прислал.

    P.S. Вирус скачивает трояны,удаляю с помощью Dr.Web.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Что-то новое, т.е. не детектится.
    Чую нутром, что зловред. Оставьте тот карантин, который закачали - вдруг придется файл восстановить.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('iMSPQMn');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dl_','');
     QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys','');
     DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\iMSPQMn.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('iMSPQMn');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    HijackThis не видит сего процесса.Т.е. там вообще нету чего либо,начинающегося с "O20". Выполнять скрипт?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bladger Посмотреть сообщение
    Т.е. там вообще нету чего либо,начинающегося с "O20". Выполнять скрипт?
    Да. Ничего дописывать не будем

  10. #9
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    Не помогло Новые логи. Карантин отправил по правилам.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bladger Посмотреть сообщение
    Не помогло
    В смысле: Доктор продолжает чего-то ловить? Или только надпись осталась?

  12. #11
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    Надпись осталась. Вкладка "Рабочий стол" по прежнему заблокирована.

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\appdrvrem01.exe','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\appdrv01.sys','');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(5);
    executerepair(9);
    executerepair(11);
    executerepair(17);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    При попытке выполнить скрипт:"Ошибка скрипта:','expected,позиция[15:5]"

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bladger Посмотреть сообщение
    При попытке выполнить скрипт:"Ошибка скрипта:','expected,позиция[15:5]"
    Спасибо, извините. Подправил

  16. #15
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    moderated:::у нас работает коллектив примного благодарен вам за все приложенные усилия на решение моей проблемы.Надписи больше нет,вкладка "Рабочий стол" появилась,а доктор не ловит троянов. При сканировании карантина небыло вообще,только логи,прикрепленные ниже. Еще раз огромное спасибо.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bladger Посмотреть сообщение
    При сканировании карантина небыло вообще
    Значит файлы в базе безопасных АВЗ.
    Нужно поставить Сервис Пак 3.

  18. #17
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    Извините,что опять поднимаю эту тему. Думал,думал,чего же не хватает и обратил внимание,что нету еще вкладки "Заставка". Можно вернуть? Вот логи.Неудобство это причиняет в том плане,что когда должна быть заставка (на компьютере длительное время никто ничего не делает),выскакивает blue screen of die.
    Вложения Вложения

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.09.2004
    Сообщений
    3,509
    Вес репутации
    1303
    Отключите восстановление системы, как написано в правилах.

    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\lphc9ovj0e9ec.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc9ovj0e9ec.scr','');
     DeleteFile('C:\WINDOWS\system32\blphc9ovj0e9ec.scr');
     DeleteFile('C:\WINDOWS\system32\lphc9ovj0e9ec.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(5);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно приложению №3 правил.

    Очистите временные папки и кеш браузера.
    Сделайте новые логи.
    Месть - мечта слабых, прощение - удел сильных.
    Поддержать проект можно здесь

  20. #19
    Junior Member Репутация
    Регистрация
    01.08.2008
    Сообщений
    42
    Вес репутации
    58
    Спасибо,проблема решена. Вот новые логи. Карантина нет,что указывает на отсутствие инфицированных файлов. Но в целях удостовериться,к сожалению пока не имею возможности приобрести SP3.
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bladger Посмотреть сообщение
    Спасибо,проблема решена
    Приятно, что Вы так думаете
    Цитата Сообщение от Bladger Посмотреть сообщение
    Карантина нет,что указывает на отсутствие инфицированных файлов.
    Это указывает только на то, что подозрительные файлы не попали в карантин - ни больше , ни меньше.
    Цитата Сообщение от Bladger Посмотреть сообщение
    к сожалению пока не имею возможности приобрести SP3.
    Это как? Интернет отрубило?

    - Выполните скрипт

    Код:
    begin
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\CmdLineExt03.dll','');
    BC_ImportAll;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).

  • Уважаемый(ая) Bladger, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00734 seconds with 20 queries