Показано с 1 по 11 из 11.

Spyware detected on your computer (заявка № 25961)

  1. #1
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    60

    Thumbs up Spyware detected on your computer

    Здравствуйте!
    Помогите пожалуйста со следующей проблемой в моем компьютере:
    После вчерашнего web-серфинга (05.07.200 антивирус DrWeb (SpIDer Guard or Windows v4.44) что-то находил (увы, не отслеживал статистику), если это были временные интернет файлы то я их удалял, если системные то лечил.
    И далее во время работы произошло показ следующей синей картинки:
    SYSINTERNALS_GREAT_SITE
    technical information:
    *** STOP: 0х00000100
    *** ndisuio.sys - address F89CAC86 base at F89C9000, datestamp 36B074FB

    потом заставка загрузки Windows (только корявая какая-то с артефакиами и коричневыми буквами) и далее на раб. столе на синем фоне следом появилось сообщение:
    Warning! Spyware detected on your computer!

    При диагностике по вашей методике: антивирус DrWeb нашел следующее на диске C:\ System Volume Information.....:
    A0005107.exe Trojan.Inject.672

    пытался вылечить - не лечит, либо удалять неизлечимые либо переименовывать - тут не решаюсь все-таки системные файлы.

    и далее AVZ не нашел никаких Spyware и вирусов!

    После перегрузки без восстановления системы пункт 9 диагностики по вашей методике высветилось на синем фоне следующее:
    BOGUS_DRIVER
    technical information:
    *** STOP: 0х00000099
    *** fips.sys - address F85D7132 base at F85D5000, datestamp 36B074FB

    Пожалуйста, помогите вылечить свой компьютер и избавиться от этой "нечисти"!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Закройте все программы.
    Отключитесь от Интернета.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\System32\drivers\Winnr73.sys');
    QuarantineFile('C:\WINDOWS\System32\drivers\Winnr73.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     BC_DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     QuarantineFile('c:\0b5hww.exe','');
     QuarantineFile('C:\WINDOWS\system32\lphclr6j0e9a9.exe','');
     QuarantineFile('c:\c5b2fk.exe','');
     BC_DeleteFile('c:\c5b2fk.exe');
     DeleteFile('C:\WINDOWS\system32\blphclr6j0e9a9.scr');
     BC_DeleteFile('C:\WINDOWS\system32\lphclr6j0e9a9.exe');
     BC_DeleteFile('c:\0b5hww.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
    http://virusinfo.info/upload_virus.php?tid=25961
    Сделайте новые логи и приложите их к своей теме.

  4. #3
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    60

    продолжаем

    добрый день!
    после выполнения выше выложенного скрипта и перезагрузки компьютера надпись (предупреждение о Spyware) на раб. столе осталась и при самостоятельном сканировании файлов антивирус DrWeb находит в директории С:\Windows\System32\Drivers\Winhm15.sys Trojan.Rhtm.10 Так как это системный файл то нажимаю лечить. Все в статистике отражается как вылеченный. Но на раб столе так и висит предупреждение о Spyware. Какие дальнейшие действия?
    Вложения Вложения

  5. #4
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    Скачайте Icesword
    Запустите программу.
    Внизу слева выберите меню File.
    Появится аналог проводника. Найдите в нем файл руткита:
    C:\WINDOWS\system32\WinCtrl32.dll
    Нажмите по нему правой кнопкой мыши и выберите force delete.
    На запрос потверждения ответьте "да".
    Перезагрузите компьютер.
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     ClearQuarantine;
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('Winfl15', 4);
     DeleteService('Winfl15');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfl15.sys');
     DeleteFile('C:\WINDOWS\system32\lphclr6j0e9a9.exe');
     DeleteFile('WinCtrl32.dll');
     BC_ImportDeletedList;
     ExecuteRepair(6);
     ExecuteRepair(1);
     ExecuteRepair(5);
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.



    Пофиксить в HijackThis следующие строчки
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    Повторите логи.
    Microsoft Most Valuable Professional in Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    60

    все в порядке

    Добрый день!
    Все сделал как просили! Все стало в порядке, надеюсь на это!
    Большое спасибо за помощь!
    Вложения Вложения

  7. #6
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,343
    Вес репутации
    76
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     SetServiceStart('Winlq73', 4);
     SetServiceStart('Winhm15', 4);
     SetServiceStart('Windh37', 4);
     DeleteFile('C:\WINDOWS\System32\Drivers\Windh37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhm15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winlq73.sys');
     DeleteService('Winlq73');
     DeleteService('Winhm15');
     DeleteService('Windh37');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.



    Повторите логи
    Microsoft Most Valuable Professional in Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    60

    продолжаем

    добрый день!
    сделал скрипт! Спасибо!
    что так все запущенно в моем компьютере, да?
    Какие дальнейшие действия?
    Вложения Вложения

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Отключите восстановление системы там хранятся копии зловредов...

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    В логах чисто,жалобы есть?

  10. #9
    Junior Member Репутация
    Регистрация
    05.01.2008
    Сообщений
    16
    Вес репутации
    60

    спасибо

    добрый день!
    Все сделал как просили - пофиксили!
    Вот только вопрос - когда нужно включать восстановление системы (убрать ту пресловутую галочку) после пройденного лечения? Сейчас вроде убедились что все вылечено!

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Ну, стало быть, можно включать.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\lphclr6j0e9a9.exe - Trojan.Win32.Agent.tkn (DrWEB: Trojan.Fakealert.950)
      2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ako (DrWEB: Trojan.Rntm.7)
      3. c:\\0b5hww.exe - Trojan-Downloader.Win32.Mutant.akm (DrWEB: Trojan.Rntm.7)


  • Уважаемый(ая) Игорь Т., наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    2. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    3. Ответов: 1
      Последнее сообщение: 29.09.2008, 10:38
    4. Ответов: 4
      Последнее сообщение: 28.09.2008, 22:54
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 18:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01041 seconds with 18 queries