Junior Member
Вес репутации
58
Warning: Your computer is infected with spyware!
Вчера на компе заставка стала синим экраном, на рабочем столе появилось сообщение, что "Spyware detected", пропал доступ к реестру и к менеджеру процессов. В IE появилась строка "
Warning: Your computer is infected with spyware!". Из меню рабочего стола пропали закладки "Заставка" и "Рабочий стол"
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('CbEvtSvc', 4);
StopService('CbEvtSvc');
QuarantineFile('crypts.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\qandr.sys','');
QuarantineFile('C:\WINDOWS\system32\winupdate.exe','');
QuarantineFile('C:\WINDOWS\System32\CbEvtSvc.exe','');
DeleteFile('C:\WINDOWS\System32\CbEvtSvc.exe');
DeleteFile('C:\WINDOWS\system32\winupdate.exe');
DeleteFile('C:\WINDOWS\system32\drivers\qandr.sys');
DeleteFile('crypts.dll');
BC_ImportAll;
BC_DeleteSvc('CbEvtSvc');
BC_DeleteSvc('qandr');
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26623
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F3 - REG:win.ini: run="C:\WINDOWS\system32\winupdate.exe"
O2 - BHO: (no name) - {FFFFFFFF-BBBB-4146-86FD-A722E8AB3489} - (no file)
O20 - Winlogon Notify: crypt - crypts.dll (file missing)
Повторите логи.
Junior Member
Вес репутации
58
Карантин пуст.
В IE при запуске осталась строчка про Spyware.
Вложения
В логах ничего подозрительного,сделайте скриншот,где осталась эта надпись...
Junior Member
Вес репутации
58
Упс, я понял. Это просто домашняя страница такая выставилась.
Спасибо!
Если не получилось самому, то профиксите след строчки:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = file://c:/windows/homepage.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = file://c:/windows/homepage.html
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = file://c:/windows/homepage.html
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую