Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Рабочий стол Warning! Spyware detected on your computer (заявка № 26195)

  1. #1
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59

    Thumbs up Рабочий стол Warning! Spyware detected on your computer

    После посещения одного из сайтов появилась пробелам как у многих .На рабочем столе надпись на синем фоне появилась надпись Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer. После этого на вкладке свойств рабочего стола пропали закладки "Рабочий стол" и "Заставка". Появляется скринсейвер с имитацией выдачи ошибки в файле *.sys и последующей имитацией перезагрузки.
    Последний раз редактировалось PEPPER; 10.07.2008 в 21:18.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Да, уж. Куча зверья, плю остатки Касперского.
    До чего довели бедный компьютер.
    1.Скачать IceSword.
    В нем удалить:
    D:\WINDOWS\system32\Drivers\Winxe17.sys
    D:\WINDOWS\system32\WinCtrl32.dll
    2.Выполнить скрипт:
    Код:
    begin
    ClearHostsFile;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com','');
     DelBHO('{C8A3B994-E27A-42f5-A053-C63799E621FB}');
     QuarantineFile('byrone.dll','');
     QuarantineFile('K:\Tempor\psyche.exe','');
     QuarantineFile('D:\WINDOWS\system32\n7071\sv711600230r.exe','');
     QuarantineFile('D:\WINDOWS\system32\mswmsys.dll','');
     QuarantineFile('D:\WINDOWS\system32\blphcgdcj0ejj0.scr','');
     QuarantineFile('D:\WINDOWS\services.exe','');
     QuarantineFile('D:\Program Files\Internet Explorer\shwdltms.bin','');
     QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\dv6160020x\yesbron.com','');
     DeleteService('Wej06');
     DeleteService('Vci51');
     DeleteService('Syf06');
     DeleteService('Saf16');
     DeleteService('Rye16');
     DeleteService('Qwc41');
     DeleteService('Mub16');
     DeleteService('Mty73');
     DeleteService('Msy27');
     DeleteService('Agl06');
     QuarantineFile('D:\WINDOWS\system32\msdnc1.exe','');
     DeleteService('ThemesSSDPSRV');
     DeleteService('lich');
     DeleteService('FCI');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Winxe17.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\beeper.sys','');
     QuarantineFile('D:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\beeper.sys');
     DeleteFile('D:\WINDOWS\system32\Drivers\Winxe17.sys');
     DeleteFile('D:\WINDOWS\system32\fci.exe');
     DeleteFile('D:\WINDOWS\system32\lich.exe');
     DeleteFile('D:\WINDOWS\system32\msdnc1.exe');
     DeleteFile('D:\WINDOWS\System32\Drivers\Agl06.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Msy27.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Mty73.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Mub16.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Qwc41.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Rye16.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Saf16.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Syf06.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Vci51.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Wej06.sys');
     DeleteFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\dv6160020x\yesbron.com');
     DeleteFile('D:\Program Files\Internet Explorer\shwdltms.bin');
     DeleteFile('D:\WINDOWS\services.exe');
     DeleteFile('D:\WINDOWS\system32\blphcgdcj0ejj0.scr');
     DeleteFile('D:\WINDOWS\system32\n7071\sv711600230r.exe');
     DeleteFile('byrone.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    BC_Activate;
    RebootWindows(true);
    end.
    Загрузить карантин по Красной ссылке.

    Сделать новые логи.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Все выполнил. Огромное спасибо.
    Логи в приложении.
    Последний раз редактировалось PEPPER; 10.07.2008 в 21:18.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите
    Код:
    R3 - URLSearchHook: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
    O20 - Winlogon Notify: WinCtrl32 - D:\WINDOWS\			
    O20 - Winlogon Notify: WLCtrl32 - D:\WINDOWS\
    выполните скрипт...
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com','');
     QuarantineFile('K:\Tempor\psyche.exe','');
     QuarantineFile('D:\WINDOWS\system32\userinit.exe','');
     BC_DeleteSvc('Beep');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\beeper.sys','');
     QuarantineFile('D:\WINDOWS\system32\drivers\mickey32.sys','');
     BC_DeleteSvc('ThemesSSDPSRV');
     QuarantineFile('D:\WINDOWS\system32\msdnc1.exe','');
     DeleteFile('D:\WINDOWS\system32\msdnc1.exe');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\beeper.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карнтин согласно приложения 3 правил
    повторите логи ...

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    fci.exe_ - Trojan.Win32.Obfuscated.jin (свежий) - удален.

    services.exe_ - Trojan.Win32.Pakes.jrs,
    WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.all - также удалены.


    Что за задание в "Планировщике" знаете?
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Пофиксил. Крантин выслал. Логи в приложении.

    Нет в планировщике что за зажания не знаю. я туда сам ничего не добавлял.
    Последний раз редактировалось PEPPER; 17.07.2008 в 00:33.

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O21 - SSODL: SysChk - {94A6E551-61BE-490C-86A5-6821E8AD412E} - D:\Program Files\Internet Explorer\shwdltms.bin (file missing)
    O21 - SSODL: MSWM - {24B0F496-4150-4D34-B1B6-EE9DD0AA408A} - mswmsys.dll (file missing)
    D:\WINDOWS\system32\userinit.exe VirTool:Win32/DelfInject.gen!AM
    нужно заменить на чистый из дистрибутива ...

    задания в планировщике удалите ...

    K:\Tempor\psyche.exe , D:\WINDOWS\system32\kdngu.exe - пришлите согласно приложения 2 правил ...

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Удаление задания в "Планировщике" - Панель управления - Планировщик.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Подскажите пожайлуста, при замене файла из дистрибутива какие команды надо делать в консоли восстановления.

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    expand x:\i386\userinit.ex_ y:\windows\system32\userinit.exe
    x - буква CD, y - буква диска с windows xp

  12. #11
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Сколько раз не пытался. при выполнении команды пишет "не удается создать файл". В чем дело.

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    приведите точную строку которую вы вводите ....

  14. #13
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Точная строка.
    expand J:\i386\userinit.ex_ D:\windows\system32\userinit.exe

    Здесь фото с монитора в этот момент

    http://i002.radikal.ru/0807/1a/3fd3462a922c.jpg

    В моем компьютере появилась папка "веб-папки". Раньше ее не было.

    Еще такая проблема.
    Постоянно сбивается авторизация. Захожу на форумы любые логинюсь. как только закрываю страницу при новом заходе приходится заново логиниться. Также в IE возникает часто окно. "На этой странице произошла ошибка сценария".

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    убрать веб папки просто ....
    Код:
    begin
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    end.
    нсчет не распаковывает- странно .... возьмите отсюда распакованый http://slil.ru/25985437

  16. #15
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Скопировал через cmd
    Последний раз редактировалось PEPPER; 16.07.2008 в 21:59.

  17. #16
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    давайте новые логи ...

  18. #17
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Карантин по файлам выслал. файл заменил.
    Проблема с ошибками в IE и постоянным сбоем авторизации осталась.
    Прикрепляю новые логи.
    Последний раз редактировалось PEPPER; 17.07.2008 в 00:33.

  19. #18
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\mssrv32.exe','');
     RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DF780F87-FF2B-4DF8-92D0-73DB16A1543A}');
     QuarantineFile('D:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
     QuarantineFile('D:\Documents and Settings\PEPPER.PEPPER14022005\Local Settings\Application Data\jalak-931600215-bali.com','');
     QuarantineFile('D:\WINDOWS\system32\n7071\sv711600230r.exe','');
     QuarantineFile('K:\Tempor\psyche.exe','');
     QuarantineFile('K:\Tempor\winlogon.exe','');
     QuarantineFile('D:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('D:\WINDOWS\system32\kdngu.exe','');
     QuarantineFile('D:\WINDOWS\iexplorer.exe','');
     DeleteFile('D:\WINDOWS\iexplorer.exe');
     DeleteFile('D:\WINDOWS\system32\kdngu.exe');
     DeleteFile('D:\WINDOWS\system32\ntos.exe');
      DeleteFile('D:\WINDOWS\system32\n7071\sv711600230r.exe');
     DeleteFile('D:\WINDOWS\Downloaded Program Files\popcaploader.dll');
     DeleteFile('D:\WINDOWS\system32\mssrv32.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  20. #19
    Junior Member Репутация
    Регистрация
    08.07.2008
    Сообщений
    171
    Вес репутации
    59
    Все выполнил.
    Новые логи прикрепляю.
    Последний раз редактировалось PEPPER; 02.10.2008 в 20:05.

  21. #20
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте D:\WINDOWS\system32\drivers\mickey32.sys, D:\WINDOWS\system32\drivers\Wywh63.sys - force delete
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('mickey32');
     DelBHO('{096059FD-99AB-41eb-9E55-59AEB0A3B444}');
     QuarantineFile('haskel32.dll','');
     QuarantineFile('Wywh63.sys','');
     DeleteFile('Wywh63.sys');
     BC_DeleteSvc('Wywh63');
     DeleteFile('haskel32.dll');
     DeleteFile('D:\WINDOWS\system32\drivers\mickey32.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

    еще раз справшиваю задания в планировщике ваше ? если нет удалите ....

  • Уважаемый(ая) PEPPER, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. На рабочем столе WARNING!Spyware detected on your computer!
      От Cocojumbo в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:41
    2. Ответов: 4
      Последнее сообщение: 22.02.2009, 07:37
    3. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    4. Warning! Spyware detected on your computer! на рабочем столе.
      От Borsch в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 06:27
    5. Ответов: 1
      Последнее сообщение: 03.07.2008, 10:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01069 seconds with 19 queries