-
Spyware detected on your computer
Здравствуйте! Пожалуйста помогите.
При включении компьютера появляется синий экран с надписью: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer".
В свойствах экрана не доступны закладки "Заставка" и "Рабочий стол".
Тормозит вся система, поменялись системное время и дата.
SpyderMail показывал отправку писем через порт, хотя все мои почтовый программы были закрыты.
После перезагрузки компьютера некоторые программы (Dr.Web, StyleXP) перестали работать, т.к. не могут найти файл лицензии или ключ.
Заранее спасибо!
Последний раз редактировалось RWC; 16.05.2009 в 16:33.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы!
На время выполнения скрипта отключите интернет и антивирус.
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\RWC\Local Settings\Temp\loader.exe','');
QuarantineFile('C:\WINDOWS\system32\lphc5pqj0eg2p.exe','');
QuarantineFile('C:\WINDOWS\system32\blphc5pqj0eg2p.scr','');
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\Wintp75.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winnl08.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winbl54.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\csdlocalmon.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Winbl54.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winnl08.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Wintp75.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\WINDOWS\system32\blphc5pqj0eg2p.scr');
DeleteFile('C:\WINDOWS\system32\lphc5pqj0eg2p.exe');
DeleteFile('C:\Documents and Settings\RWC\Local Settings\Temp\loader.exe');
BC_ImportALL;
BC_DeleteSvc('SpoolerStarWindService');
BC_DeleteSvc('lanmanserverAppMgmt');
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=28175).
Поставьте правильную дату.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Карантин прислал.Дату поставил.Логи ниже.
Спасибо, вроде все симптомы прошли, только файл лицензии, ключи многие программы не могут найти, скорее всего, может это из-за сбившегося времени.
Что-нибудь еще делать надо?
Последний раз редактировалось RWC; 16.05.2009 в 16:33.
-
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AdobeBthServ');
DeleteService('RDSessMgrDnscache');
DeleteService('SpoolerCiSvc');
DeleteService('WudfSvcDnscache');
DeleteService('Winxc76');
DeleteService('Winus71');
DeleteService('Winsn78');
QuarantineFile('C:\WINDOWS\System32\drivers\Winsn78.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winus71.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\Winxc76.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\Winxc76.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winus71.sys');
DeleteFile('C:\WINDOWS\System32\drivers\Winsn78.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('AdobeBthServ');
BC_DeleteSvc('RDSessMgrDnscache');
BC_DeleteSvc('SpoolerCiSvc');
BC_DeleteSvc('WudfSvcDnscache');
BC_DeleteSvc('Winxc76');
BC_DeleteSvc('Winus71');
BC_DeleteSvc('Winsn78');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Профиксил, скрипт выполнил.
Кстати, после перезагрузки все программы заработали. 
Карантин закачал. Логи ниже.
Последний раз редактировалось RWC; 16.05.2009 в 16:33.
-
И снова восстановление системы оставлено включенным! Отключите его, иначе есть вероятность восстановления ваших троянов. Потом можете включить обратно.
I am not young enough to know everything...
-
-
Сорри, уже отключил.Точки востановления удалил.
-
Отключите восстановление системы!
На время выполнения скрипта отключите интернет и антивирус.
-Пофиксите
Код:
O4 - HKLM\..\Run: [ccPrxy.exe] ccPrxy.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AdobeBthServ');
BC_DeleteSvc('AdobeBthServ');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
-
-
все сделал, логи ниже.
а что за ссервис такой "AdobeBthServ"- не от фотошопа ли, или риадера?
Последний раз редактировалось RWC; 16.05.2009 в 16:33.
-
Сообщение от
RWC
а что за ссервис такой "AdobeBthServ"- не от фотошопа ли, или риадера?
Нет 
Нет такой буквы.... эххм, такого сервиса ни у Адоби Фотошоп ни у Ридера ...
Пуск/Выполнить... набрать cmd, нажать Ввод.
В открывшемся ДОС-Окошке набрать
Код:
sc delete adobebthserv
нажать Ввод...
Возможный запрос Уверенны ли Вы подтвердить.
Если сообщения об ошибках - сообшите тут.
Перегрузиться, сделать только лог syscheck.
-
-
сделал
Код:
Microsoft Windows XP [Версия 5.1.2600]
(С) Корпорация Майкрософт, 1985-2001.
C:\Documents and Settings\RWC>sc delete adobebthserv
[SC] DeleteService SUCCESS
C:\Documents and Settings\RWC>
syscheck сделал.
Последний раз редактировалось RWC; 16.05.2009 в 16:33.
-
забыл перезагрузиться, вот новый syscheck ниже
Последний раз редактировалось RWC; 16.05.2009 в 16:33.
-
-
-
В основном все чисто и нормально? Спасибо большое!!!
Еще хотелось спросить, какие программы порекомендовали бы, для чистки-омолаживания WinXP, и реестра?
-
Сообщение от
RWC
Тоесть в основном все нормально?
Мы можем судить только по логам . Они проблем не покаызвают. Поэтому Ваша информация о поведении ПК нам очень важна.
Сообщение от
RWC
Еще хотелось спросить, какие программы порекомендовали бы, для чистки-омолаживания WinXP, и реестра?
Если Вы внимательно читали мое собщение 4, то наверняка видели ссылку на статейку Как почистить мусор на ПК. Я надеялся грешным делом, что Вы даже рекомендованное выполнили. По Вашему вопросу же судя вы ее просто проигнорировали...
-
-
Сообщение от
Rene-gad
Мы можем судить только по логам. Они проблем не показывают. Поэтому Ваша информация о поведении ПК нам очень важна.
Ну, я тоже больше не вижу проблем, проверка на вирусы тоже показывает все чисто.
Сообщение от
Rene-gad
Если Вы внимательно читали мое собщение 4, то наверняка видели ссылку на статейку. Как почистить мусор на ПК. Я надеялся грешным делом, что Вы даже рекомендованное выполнили. По Вашему вопросу же судя вы ее просто проигнорировали...
Нет, не игнорировал... делал, своими методами, ссылку не заметил =))
Все спасибо... пойду ставить 3 сервис пак =)
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 39
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\rwc\\local settings\\temp\\loader.exe - Trojan-Downloader.Win32.Agent.aayp (DrWEB: Trojan.DownLoad.2077)
- c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001893.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001894.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001895.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001923.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001924.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\system volume information\\_restore{2633d674-afdc-4a86-8e97-6b640ad733b6}\\rp3\\a0001925.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winbl54.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winnl08.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winsn78.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\wintp75.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winus71.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\drivers\\winxc76.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axq (DrWEB: Trojan.DownLoad.3503)
-
