Warning! Spyware detected on your computer! и winlogon
собстевенно бумаю известная вам проблема, потомучто тут она очень часто обсуждается.
Расскажу всё как было:
в ночь 17.08
примерно с 12 часов ночи. я не заходил ни накакие подозрительные, если быть точнее то я находился тока на своём сайте( csplay.net.ru ), работал с html.
в 0:45 у меня зависла opera, я закрыл её через 3 кнопки, тут nod32 выдал сообщение: " 0:48:13 Защита файловой системы в режиме реального времени C:\WINDOWS\system32\1042t.dll Win32/Spy.Agent.NHN троянская программа очищен удалением - изолирован NT AUTHORITY\SYSTEM Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\System32\svchost.exe. ;
0:47:37, Защита файловой системы в режиме реального времени, файл C:\WINDOWS\System32\drivers\Winbg37.sys, Win32/Wigon.CK троянская программа, очищен удалением - изолирован, NT AUTHORITY\SYSTEM, Событие произошло в новом файле, созданном следующим приложением: C:\DOCUME~1\E3A5~1.BC0\LOCALS~1\Temp\BN28F2.tmp. "
Потом я свернул все окна и увидел новый фон рабочего стола ( табличка warning )
я отключит интернет, потытался вернуть обычный рабочий стол через свойства, но там не оказалось вкладок "фон" и "заставка", дальше я зашёл через "gpedit.msc" и отключил скрытие этих вкладок, дальше я зашол в свойства-фон, обнаружил что у меня стоит рисунок " blphc97lj0e1d9.bmp ", через поиск я нашол в sistem32 файлы " blphc97lj0e1d9.scr , *exe, *bmp " и удалил их, также удалил все записи в реестре с именем "blphc97lj0e1d9"
но мне никак не удалось удалисть и отключить файлы "Winctrl32.dll; Winlogon.exe; ~.exe"
просмотрел логи фаирвола, я обнаружил что с 0:50 до 1:15 Обнаружена атака DNS cache poisoning , по 10 попыток в секунду
также при подлючении интернета nod 32выдаёт: "14:00:39, Защита файловой, файл: C:\WINDOWS\System32\drivers\Winwc15.sys, Win32/Wigon.CK троянская программа, очищен удалением - изолирован, NT AUTHORITY\SYSTEM, Событие произошло в новом файле, созданном следующим приложением: C:\WINDOWS\TEMP\BN306.tmp. " каждый раз название sys файла разное
ладно закончу мучать вас своим расказом,
Некоторые симптомы: 1-При первой закрузке компа пропал доступ к звуковой карте, точнее звук приложений был, но музыку не воспроизводил. 2-Иногда подключение интернета работало в скрытом режиме ( всё выгледело как будто интернет отклчен, но смотреть сайты можно было.
от заставки мне удалось избавился, но никак не могу избавится от winlogon и прочего
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное востановление.
- Выполните скрипт
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
всё сделал, вот новые логи
З.Ы. файлы Winbg37.sys, Winwc15.sys,Winmr72.sys у меня удалил nod32 как Win32/Wigon.CK троянская программа
З.Ы.Ы. у меня чёт очень часто обрывается инет, хотя может это и не из-за этого
Последний раз редактировалось -Vampir-; 17.08.2008 в 18:46.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: