Здравствуйте.
Вот и у меня "Spywere detected on your computer". Антивируса небыло.
Касперским 7.0 - всё просканировал в безопасном режиме. Но периодически ловит заразу в system32.
Здравствуйте.
Вот и у меня "Spywere detected on your computer". Антивируса небыло.
Касперским 7.0 - всё просканировал в безопасном режиме. Но периодически ловит заразу в system32.
Последний раз редактировалось 9073; 19.08.2008 в 10:43.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрволл
- Системное восстановление
Пофиксите
Читайте и качайте тут, найдите и удалите через force deleteКод:O2 - BHO: C:\WINDOWS\system32\hdxjd4g.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file) O2 - BHO: C:\WINDOWS\system32\djki397g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file) O4 - HKLM\..\Run: [Hhjg5jfd93dftdf] C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe O4 - HKLM\..\Run: [C:\WINDOWS\system32\kdvyx.exe] C:\WINDOWS\system32\kdvyx.exe O4 - HKLM\..\Run: [runservices] C:\WINDOWS\services.exe O4 - HKCU\..\Run: [Hhjg5jfd93dftdf] C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\U\LOCALS~1\Temp\csrssc.exe O17 - HKLM\System\CCS\Services\Tcpip\..\{52D5ECE6-ED87-4A01-A231-D939780748D5}: NameServer = 85.255.116.131,85.255.112.112 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.131 85.255.112.112 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.116.131 85.255.112.112 O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.131 85.255.112.112 O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Выполните скриптКод:C:\WINDOWS\System32\Drivers\Winek05.sys
После перезагрузки очистите кэш проводника и темп-папки, закачайте карантин и повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('Winek05'); DeleteService('tcpsr'); DeleteService('Jpu41'); DeleteService('Gmr27'); DeleteService('Google Online Services'); DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}'); DelBHO('{B5AF0562-94F3-42BD-F434-2604812C797D}'); DelBHO('{B5AC49A2-94F2-42BD-F434-2604812C897D}'); QuarantineFile('C:\WINDOWS\system32\kdvyx.exe',''); QuarantineFile('C:\WINDOWS\services.exe',''); QuarantineFile('C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe',''); QuarantineFile('C:\DOCUME~1\U\LOCALS~1\Temp\csrssc.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winek05.sys',''); QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Jpu41.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Gmr27.sys',''); QuarantineFile('C:\Documents and Settings\U\ie_updates3r.exe',''); DeleteFile('C:\Documents and Settings\U\ie_updates3r.exe'); DeleteFile('C:\WINDOWS\System32\Drivers\Gmr27.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Jpu41.sys'); DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winek05.sys'); DeleteFile('C:\DOCUME~1\U\LOCALS~1\Temp\csrssc.exe'); DeleteFile('C:\DOCUME~1\U\LOCALS~1\Temp\winlagon.exe'); DeleteFile('C:\WINDOWS\services.exe'); DeleteFile('C:\WINDOWS\system32\kdvyx.exe'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
А как "пофиксить" ? Никогда не "фиксил".
С уважением,
Alex Plutoff
А. ПЛАТОВ
> и сохранить её на диске в специальной, но ни в коем случае не темп-папке.
Что подразумевается по "специальной" папкой? Меня это в заблуждение ввело.
-а то и значит, что сохранять нужно в папке специально созданной пользователем(то есть, Вами) для HijackThis, например, C:\HiJack ...двойной клик по Мой компьютер на Рабочем столе, двойной клик по Локальный диск(С: ), правый клик на свободном месте, Создать Папку, ну, и переименовываете Новая папка на HiJack
-теперь понятно, "что подразумевается"?..
С уважением,
Alex Plutoff
А. ПЛАТОВ
1. Да, теперь ясно.
2. Папка Quarantine содержит пустую папку с датой - высылать не стал.
3. C:\WINDOWS\System32\Drivers\Winek05.sys - не найден!
4. Брандмауэр отключен и не включается - не активны элементы в окне брандмауэра. (это после заражения так стало)
Последний раз редактировалось 9073; 19.08.2008 в 10:43.
Посмотрите мои логи.
И можно ли вылечить брандмауэр Windows? Таким он стал после заражения. Windows Home Edition - а тут групповые политики откуда-то вылезли.
Последний раз редактировалось 9073; 19.08.2008 в 10:43.
Почитай вот здесь:
http://support.microsoft.com/kb/825826/ru
После установки пакета обновления 2 (SP2) для Windows XP не удается запустить службу брандмауэра Windows. В частности, могут возникать следующие неполадки:
•пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) не отображается в списке Службы панели управления;
•пункт Брандмауэр Windows/Общий доступ к Интернету (ICS) отображается в списке Службы, но не удается запустить службу;
•при попытке доступа к параметрам брандмауэра Windows выводится следующее сообщение об ошибке:
"Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows."
решение проблемы тут http://support.microsoft.com/kb/920074/ru
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Павел, у меня ОЕМ Windows XP Home Edition SP2, информация в данных статьях не относится к моему продукту. Там для Windows XP Professional. Я всё что там было прочитал, но не более.
Проблема актуальна.
Даже на technet-ru тишина.
Но проблему решил восстановив первоначальное состояние ОС из папки Repair. И заработал мой брандмауэр любименький.
Уважаемый(ая) 9073, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.