Показано с 1 по 9 из 9.

Warning! Spyware detected on your computer! и winlogon (заявка № 28238)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58

    Thumbs up Warning! Spyware detected on your computer! и winlogon

    собстевенно бумаю известная вам проблема, потомучто тут она очень часто обсуждается.
    Расскажу всё как было:
    в ночь 17.08
    примерно с 12 часов ночи. я не заходил ни накакие подозрительные, если быть точнее то я находился тока на своём сайте( csplay.net.ru ), работал с html.
    в 0:45 у меня зависла opera, я закрыл её через 3 кнопки, тут nod32 выдал сообщение: " 0:48:13 Защита файловой системы в режиме реального времени C:\WINDOWS\system32\1042t.dll Win32/Spy.Agent.NHN троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe. ;
    0:47:37, Защита файловой системы в режиме реального времени, файл C:\WINDOWS\System32\drivers\Winbg37.sys, Win32/Wigon.CK троянская программа, очищен удалением - изолирован, NT AUTHORITY\SYSTEM, Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\E3A5~1.BC0\LOCALS~1\Temp\BN28F2.tmp. "
    Потом я свернул все окна и увидел новый фон рабочего стола ( табличка warning )
    я отключит интернет, потытался вернуть обычный рабочий стол через свойства, но там не оказалось вкладок "фон" и "заставка", дальше я зашёл через "gpedit.msc" и отключил скрытие этих вкладок, дальше я зашол в свойства-фон, обнаружил что у меня стоит рисунок " blphc97lj0e1d9.bmp ", через поиск я нашол в sistem32 файлы " blphc97lj0e1d9.scr , *exe, *bmp " и удалил их, также удалил все записи в реестре с именем "blphc97lj0e1d9"
    но мне никак не удалось удалисть и отключить файлы "Winctrl32.dll; Winlogon.exe; ~.exe"
    просмотрел логи фаирвола, я обнаружил что с 0:50 до 1:15 Обнаружена атака DNS cache poisoning , по 10 попыток в секунду
    также при подлючении интернета nod 32выдаёт: "14:00:39, Защита файловой, файл: C:\WINDOWS\System32\drivers\Winwc15.sys, Win32/Wigon.CK троянская программа, очищен удалением - изолирован, NT AUTHORITY\SYSTEM, Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN306.tmp. " каждый раз название sys файла разное
    ладно закончу мучать вас своим расказом,
    Некоторые симптомы: 1-При первой закрузке компа пропал доступ к звуковой карте, точнее звук приложений был, но музыку не воспроизводил. 2-Иногда подключение интернета работало в скрытом режиме ( всё выгледело как будто интернет отклчен, но смотреть сайты можно было.
    от заставки мне удалось избавился, но никак не могу избавится от winlogon и прочего
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\Winbg37.sys
    C:\WINDOWS\System32\Drivers\Winwc15.sys
    C:\WINDOWS\System32\Drivers\Winmr72.sys
    C:\WINDOWS\system32\WinCtrl32.dll
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное востановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('lanmanworkstationupnphost');
     DeleteService('TapiSrvidsvc');
     DeleteService('Winbg37');
     DeleteService('Winmr72');
     DeleteService('Winwc15');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwc15.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg37.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winmr72.sys','');
     QuarantineFile('C:\DOCUME~1\E3A5~1.BC0\LOCALS~1\Temp\loader.exe','');
     QuarantineFile('C:\\dvt.exe','');
     DeleteFile('C:\\dvt.exe');
     DeleteFile('C:\WINDOWS\system32\lphc97lj0e1d9.exe');
     DeleteFile('C:\DOCUME~1\E3A5~1.BC0\LOCALS~1\Temp\loader.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmr72.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwc15.sys');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('lanmanworkstationupnphost');
     BC_DeleteSvc('TapiSrvidsvc');
     BC_DeleteSvc('Winbg37');
     BC_DeleteSvc('Winmr72');
     BC_DeleteSvc('Winwc15');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    всё сделал, вот новые логи
    З.Ы. файлы Winbg37.sys, Winwc15.sys,Winmr72.sys у меня удалил nod32 как Win32/Wigon.CK троянская программа
    З.Ы.Ы. у меня чёт очень часто обрывается инет, хотя может это и не из-за этого
    Вложения Вложения
    Последний раз редактировалось -Vampir-; 17.08.2008 в 18:46.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от -Vampir- Посмотреть сообщение
    З.Ы. файлы Winbg37.sys, Winwc15.sys,Winmr72.sys у меня удалил nod32 как Win32/Wigon.CK троянская программа
    А Вы должны были выключить Антивирус - в правилах написано + я еще для танкистов специально написал.

    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Удалите Spyware Process Detector и Ad-Aware - они ничего - кроме проблем - не добавляют.

    Повторите логи начиная от п.10 правил.
    Последний раз редактировалось Rene-gad; 17.08.2008 в 19:26.

  6. #5
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    А Вы должны были вылкючить Антивирус - в правилах написано + я еще для танкистов специально написал.
    так он к меня их давно заблокировал, еще как тока они появились

    а Spyware Process Detector я еще давно удалил, хм...

    ща сделаю
    Последний раз редактировалось -Vampir-; 17.08.2008 в 19:39. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    вот всё сделал, воть логи ( с 10 пункта )

    З.Ы. Spyware Process Detector я удалил, но прост значиние в реестре осталось
    Вложения Вложения

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    - Выполните скрипт если хотите удалить остатки Spyware Process Detector
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('spydetector');
     DeleteFile('C:\Program Files\Spyware Process Detector\spydetector.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('spydetector');
    BC_Activate;
    RebootWindows(true);
    end.
    Установите Сервис Пак 3 + последующие патчи - это намного важнее, чем все защитные программы вместе взятые.

    Почитайте нашу священную книгу: http://security-advisory.virusinfo.info/

  9. #8
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    14
    Вес репутации
    58
    эт всё? Спасибо большое!))

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.axq (DrWEB: Trojan.DownLoad.3503)


  • Уважаемый(ая) -Vampir-, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:31
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    4. Ответов: 4
      Последнее сообщение: 28.09.2008, 22:54
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 18:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00767 seconds with 20 queries