Показано с 1 по 15 из 15.

Скринсейвер в виде синего экрана, сообщение "Spyware detected" на рабочем столе, сообщения о вирусах, блокировка вкладок "рабочий стол" и "заставка" (заявка № 26135)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    7
    Вес репутации
    35

    Question Скринсейвер в виде синего экрана, сообщение "Spyware detected" на рабочем столе, сообщения о вирусах, блокировка вкладок "рабочий стол" и "заставка"

    Операционная система WindowsXP. Антивирус Avast.
    7 июля в ходе веб-серфинга Avast стал сообщать об обнаружении вирусов. Средствами Avast и Cureit полностью решить проблему не удалось. Помимо прочего, после одной из перезагрузок с рабочего стола изчезли "обои" а вместо этого появилась надпись: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer." Начал работать скринсейвер в виде " синего экрана смерти". Из меню монитора исчезли вкладки "рабочий стол" и "заставка".

    Предписанные Вами процедуры выполнил, логи прикладываю.
    Вложения Вложения
    Последний раз редактировалось Аалексей; 09.07.2008 в 00:28.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\System32\KernelDrv.exe','');
     QuarantineFile('D:\WINDOWS\system32\mmscptcp.dll','');
     QuarantineFile('d:\windows\system32\svchost.exe','');
     QuarantineFile('D:\WINDOWS\system32\mssrv32.exe','');
     QuarantineFile('D:\WINDOWS\System32\lanmanwrk.exe','');
     QuarantineFile('D:\WINDOWS\system32\blphcnraj0et33.scr','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\beeper.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Winyd83.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Winwc72.sys','');
     QuarantineFile('D:\WINDOWS\System32\Drivers\Windi72.sys','');
     DeleteFile('D:\WINDOWS\System32\Drivers\Windi72.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winwc72.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winyd83.sys');
     DeleteFile('D:\WINDOWS\system32\blphcnraj0et33.scr');
     DeleteFile('D:\WINDOWS\System32\lanmanwrk.exe');
     DeleteFile('D:\WINDOWS\system32\mssrv32.exe');
     DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
    BC_ImportAll;
    BC_DeleteSvc('Windi72');
    BC_DeleteSvc('Winwc72');
    BC_DeleteSvc('Winyd83');
    BC_DeleteSvc('msupdate');
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26135

    в АВЗ Файл-- Мастер поиска и устранения проблем решите это:
    >> Internet Explorer - разрешено использование ActiveX, не помеченных как безопасные
    >> Internet Explorer - разрешена загрузка подписанных элементов ActiveX без запроса
    >> Internet Explorer - разрешена загрузка неподписанных элементов ActiveX
    >> Internet Explorer - разрешены автоматические запросы элементов управления ActiveX
    >> Internet Explorer - разрешен запуск программ и файлов в окне IFRAME

    Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    7
    Вес репутации
    35
    Спасибо!
    Все указанное сделал, повторяю логи.
    Вложения Вложения

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    mssrv32.exe - Backdoor.Win32.Kbot.ee (удалён)

    Записи в Hosts файле Вы делали?
    Проблемы какие-то наблюдаются?

  6. #5
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    7
    Вес репутации
    35
    К своему стыду, я не знаю, что это за Hosts файл. Так что записей в нем, во всяком случае, сознательно, я не делал.

    Проблем, вроде, никаких сейчас нет. Большое Вам спасибо!

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Зазорного в том что Вы не знаете ничего нет.
    Значит если не Вы - то враги сделали записи. В АВЗ файл---Восстановление системы, поставьте галочку возле п.13. Очистка файла Hosts, нажмите на кнопку Выполнить отмеченные операции и АВЗ сбросит настройки Hosts файла на стандартные.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    D:\WINDOWS\system32\mmscptcp.dll - Trojan.PWS.Ibank.7

    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('D:\WINDOWS\system32\mmscptcp.dll');
     BC_DeleteFile('D:\WINDOWS\system32\mmscptcp.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.

  9. #8
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    7
    Вес репутации
    35
    О, то есть, это необходимо сделать помимо того, что уже было здесь предписано и выполнено ранее?

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Да, это по ответу аналитов о карантине. После предложенного скрипта повторите логи. посмотрим умрёт или нет враг.

  11. #10
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    7
    Вес репутации
    35
    А перед выполнением этого дела, соотвественно, отключить антивирус и восстановление системы, да?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Восстановление системы надо было отключить с самого начала лечения. И не включать, пока оно не закончится.
    Антивирус - да отключать перед выполнением скриптов.

  13. #12
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    7
    Вес репутации
    35
    Сделал, логи прикладываю.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Активного заражения больше не видно. Но кое-что еще осталось.

    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
    ClearQuarantine;
     QuarantineFile('D:\Documents and Settings\r\64735.exe','');
     QuarantineFile('D:\Documents and Settings\r\957123844.exe','');
     QuarantineFile('D:\Documents and Settings\r\957123845.exe','');
     DeleteService('SABProcEnum');
     DeleteService('Beep');
     SetServiceStart('m_hook', 4);
     DeleteService('m_hook');
    end.
    Пришлите файлы из карантина AVZ (см. приложение 3 Правил) используя эту ссылку:
    http://virusinfo.info/upload_virus.php?tid=26135

    Советую установить SP3 на Windows.

    Добавлено через 2 минуты

    И пароли на почту, ICQ и прочее поменяйте, на всякий случай.
    Последний раз редактировалось AndreyKa; 15.07.2008 в 08:22. Причина: Добавлено

  15. #14
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    7
    Вес репутации
    35
    Скрипт выполнил, карантин выслал.

  16. #15
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 26
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\documents and settings\\r\\64735.exe - Trojan.Win32.Vaklik.bvc (DrWEB: archive: Trojan.PWS.LDPinch.1941)
      2. d:\\documents and settings\\r\\957123844.exe - Trojan.Win32.Vaklik.bvc (DrWEB: archive: Trojan.PWS.LDPinch.1941)
      3. d:\\documents and settings\\r\\957123845.exe - Trojan.Win32.Vaklik.bvc (DrWEB: archive: Trojan.PWS.LDPinch.1941)
      4. d:\\windows\\system32\\mmscptcp.dll - Trojan-Banker.Win32.Banker.qnj (DrWEB: Trojan.PWS.Ibank.7)
      5. d:\\windows\\system32\\mssrv32.exe - Backdoor.Win32.Kbot.ee


  • Уважаемый(ая) Аалексей, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.02.2009, 08:11
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 05:59
    3. Ответов: 5
      Последнее сообщение: 22.02.2009, 05:58
    4. Ответов: 3
      Последнее сообщение: 20.08.2008, 08:40
    5. Ответов: 9
      Последнее сообщение: 19.06.2008, 13:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00751 seconds with 17 queries