Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 23.

Синий экран с надписью обнаружено шпионское ПО. (заявка № 28161)

  1. #1
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35

    Exclamation Синий экран с надписью обнаружено шпионское ПО.

    При загрузке системы появляется синий экран
    с надписью
    Warning! Spyware detected on your computer!
    Install an antivirus or spywareremover to clean your computer.

    В свойствах экрана не доступны закладка "Заставка" и "Рабочий стол"
    Касперский тоже в автозагрузку не выходит.
    Вложения Вложения
    Последний раз редактировалось Макcим; 15.08.2008 в 20:37.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc7olj0eg69.scr','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\blphc7olj0eg69.scr');
     DeleteFile('C:\WINDOWS\services.exe');
     BC_ImportALL;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    O4 - HKLM\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServices: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\RunServicesOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKCU\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKCU\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe
    O4 - HKLM\..\Policies\Explorer\Run: [1] %SystemRoot%\system32\winhelp32.exe
    O4 - HKUS\S-1-5-18\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\S-1-5-18\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'SYSTEM')
    O4 - HKUS\.DEFAULT\..\Run: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    O4 - HKUS\.DEFAULT\..\RunOnce: [Windows Help Service] C:\WINDOWS\SYSTEM32\winhelp32.exe (User 'Default user')
    Загрузите карантин согласно приложению №3 правил.

    AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    Добрый день!

    Максим, сделал как вы написали:
    выполнил скрипт, после этого хотел пофиксить в HijackThis, но ссылок этих уже не было

    на данный момент, Касперский запускается с автозагрузки и появляется в трее, Kerio WinRoute Firewall тоже запускается но в трее не появляется, не запускаются программы из Автозагрузки (MailServer)

    синий экран не пропал, также остались заблокированными закладки "Заставка" и "Рабочий стол".

    Новые логи
    Вложения Вложения

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Выполните скрипт в AVZ
    Код:
    begin
     ExecuteRepair(6);
     ExecuteRepair(8);
     RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
     RebootWindows(true);
    end.
    Добавлено через 5 минут

    Цитата Сообщение от -SAS- Посмотреть сообщение
    на данный момент, Касперский запускается с автозагрузки и появляется в трее, Kerio WinRoute Firewall тоже запускается но в трее не появляется
    До вируса они работали вместе без проблем?
    Цитата Сообщение от -SAS- Посмотреть сообщение
    не запускаются программы из Автозагрузки (MailServer)
    Так добавьте в автозагрузку.
    Цитата Сообщение от -SAS- Посмотреть сообщение
    синий экран не пропал
    В смысле BSOD?
    Цитата Сообщение от -SAS- Посмотреть сообщение
    также остались заблокированными закладки "Заставка" и "Рабочий стол"
    Скрипт должен исправить.
    Последний раз редактировалось Макcим; 18.08.2008 в 10:03. Причина: Добавлено

  6. #5
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от Maxim Посмотреть сообщение
    Выполните скрипт в AVZ
    Скрипт выполнил.

    До вируса они работали вместе без проблем?
    Да работали вместе нормально.

    Цитата Сообщение от Maxim
    Цитата Сообщение от -SAS-
    Не запускаются программы из автозагрузки
    Так добавьте в автозагрузку.
    В смысле эти программы были (и есть) указанны в автозагрузке (Пуск-> Программы->Автозагрузка)
    и почему-то не стартуют при перезагрузке.

    В смысле BSOD?
    А что такое BSOD?
    Синий экран тот о котором речь шла в первом посте с надписью
    Warning! Spyware detected on your computer!
    Install an antivirus or spywareremover to clean your computer.

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    В смысле эти программы были (и есть) указанны в автозагрузке (Пуск-> Программы->Автозагрузка)
    и почему-то не стартуют при перезагрузке.
    Выполните скрипт в AVZ
    Код:
    begin
    RegKeyStrParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    RebootWindows(true);
    end.
    Синий экран тот о котором речь шла в первом посте с надписью
    Попробуйте сменить картинку рабочего стола.

  8. #7
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    Скрипт выполнил.
    Программы из (Пуск-> Программы->Автозагрузка) все равно не стартанули.

    Kerio WinRouteFirewall тоже не стартует, надо руками его запускать и многие еще программы которые раньше стартовали сейчас их нет, может еще какой запрет где-то остался?

    Добавлено через 2 часа 3 минуты

    Запустил сейчас Касперского на поиск вирусов
    обнаружено: троянская программа Trojan-Downloader.Win32.Mutant.axi
    Файл: C:\Documents and Settings\vladimir\S87ekhV.exe//PE_Patch//MewBundle//MEW//#
    Последний раз редактировалось -SAS-; 18.08.2008 в 13:38. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\blphcjtkj0e7cp.scr');
     DeleteFile('C:\WINDOWS\system32\lphcjtkj0e7cp.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true);
    end.
    Повторите логи.

  10. #9
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    Скрипт выполнили.
    Программы из (Пуск-> Программы->Автозагрузка) все равно при загрузке сами не запускаются.

    Логи повторяем.
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Выполните скрипт в AVZ
    Код:
    begin
    ExecuteRepair(1);
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteRepair(9);
    ExecuteRepair(11);
    ExecuteRepair(17);
    RebootWindows(true);
    end.
    Содержимое вышеуказанной папки запакуйте в архив и прикрепите к сообщению (там д.б. только *.lnk - файлы).

  12. #11
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    Высылаю архив с папкой автозагрузка
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Не называйте файлы русскими буквами, плиз.
    Повторите закачку - я архив не могу открыть.

  14. #13
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    ок, повторяю

    о блин, теперь у меня проблемы не могу вставить переименованный файл auto_run.zip

  15. #14
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    вот так
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Цитата Сообщение от -SAS- Посмотреть сообщение
    вот так
    Выкиньте файл
    Код:
    ofmsrv
    фтопку.А это что -вся Автозагрузка? Тогда ясно, почему ничего не стартует - потому что нечему стартовать.
    Посмотрите еще папки автозагрузки в других учетках.
    Скачайте отсюда: http://www.nbnews.info/download/code...tarter-5-6-2-8
    Тут видно у кого что в Автозапуск прописано+можно самому что надо прописать.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    OFMSRV, похоже, и есть искомый MailServer. Надо смотреть в реестре, куда показывают ключи:
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    Common Startup
    и
    Код:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    Startup

  18. #17
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    вот еще из общей автозагрузки

    Ну да Ofmsrv это и есть мэйлсервер, поэтому он и стоял в автозагрузке, сейчас его приходится пускать руками, просто выбирая из этой же папки Пуск - Автозагрузка.
    Вложения Вложения
    • Тип файла: rar zagr.rar (2.1 Кб, 1 просмотров)

  19. #18
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    Цитата Сообщение от pig Посмотреть сообщение
    OFMSRV, похоже, и есть искомый MailServer. Надо смотреть в реестре, куда показывают ключи:
    Код:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    Common Startup
    Common Startup C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка
    и
    Код:
    HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
    Startup
    Startup C:\Documents and Settings\vladimir\Главное меню\Программы\Автозагрузка

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Хм. Похоже на правду. В MSConfig, что ли, ещё заглянуть - вдруг там вырублено. Невзирая на наличие ярлыков...

  21. #20
    Junior Member Репутация
    Регистрация
    15.08.2008
    Сообщений
    12
    Вес репутации
    35
    вот
    Изображения Изображения

  • Уважаемый(ая) -SAS-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 2
      Последнее сообщение: 25.03.2010, 23:30
    2. Синий экран с надписью
      От starJEkA в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 06:28
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    4. Синий экран с надписью
      От Димон82 в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 06:12
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 17:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00107 seconds with 17 queries