Показано с 1 по 12 из 12.

Warning!Spyware detected on your computer!... (заявка № 28442)

  1. #1
    Junior Member Репутация
    Регистрация
    19.08.2008
    Сообщений
    10
    Вес репутации
    35

    Thumbs up Warning!Spyware detected on your computer!...

    При входе в систему экран синий, появилось окно
    Warning!Spyware detected on your computer!
    Обнаружен вирус Win32\Adware.Virtumonde
    Обнаружен вирус Win32\ Privacy.Remover.M64.
    - Пропали закладки Заставка и Рабочий стол в Свойствах экрана.
    - Пропали почти все значки в Панели уведомлений
    - Semantec Antivirus 2006 - заблокирован пункт меню Load\Unload, но проверка выполняетсся.
    опять .
    При проверке Dr_Web безрезультатно пытался вылечить выявленный им Trojan.Siggen.172 (инфицированные или подозреваются файлы: winhelp32.exe, video.sys, vmmreg32.dll\data002) - появляется снова при следующем сканировании.
    При проверке SemantecAntivirus выявляет:
    - Packed.Generic.174, файл ~tmp1174.exe, C:\Documents and Settings\,
    - W32.Looked.P, файл не определяется (Unavailable)
    - Trojan.Pandex, orvicnps.exe,C:\Documents and Settings\STANISLAV\Local Settings\Temp\,
    - Downloader, index[5].htm, C:\Documents and Settings\ STANISLAV\ Local Settings\ Temporary Internet Files\ Content.IE5\GHY3GPEZ\
    После лечения скриптом AVZ появились кнопки в Свойствах экрана.
    Панель уведомлений не восстановилась (только громкость и подключение к сети)
    Semantec -по-прежнему заблокирован пункт меню выгрузки программы
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    скачайте находите в аналоге проводника и удаляете (правой кнопкой мыши) - force delete
    Код:
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    \??\C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll','');
     QuarantineFile('\??\C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('\??\C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\blphc11dj0ec2r.scr');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 праивил ....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    19.08.2008
    Сообщений
    10
    Вес репутации
    35

    Warning!Spyware detected on your computer!...

    Перед запуском рекомендованных Вами чистки и скрипта комп впервые вылетел 2 раза в синий экран (неустранимоая ошибка). Первый раз перезапустился, а 2-й - очень странно - завис и не реагировал, и при попытке нажать Ctrl-Alt-Del вдруг вылетел БЕЗ ПЕРЕЗАГРУЗКИ в тот же экран, с теми же запущенными программами (IE, AVZ...).

    После выполнения скриптов:
    1. Сообщение Warning!Spyware detected on your computer!... исчезло.
    2. Рабочий стол - синий. (Это надо буждет все восстанвливать вручную? Как и автозагрузку? Или еще рано говорить - пока лечение не кончилось?) Свойства экрана работают.
    3. Автозагрузка не восстановилась. В ней только ctfmon и опять winhelp32 (причем msconfig показывает 2-е записи, а RegCleaner показывает что там 5 записей). Соответственно, в Панели уведомлений (System tray) только значки подключения к сети и громкость.
    Языковая панель на месте.
    4. Semantec Antivirus - пункт меню Load/Unload заблокирован по-прежнему, выгружать его приходится через Автозагрузку msconfig с перезапуском компьютера.
    После этого при ручном запуске Semantec Antivirus этот пункт меню разблокируется и позваляет его запустить, и опять блокируется - выгрузить не позволяетю
    При этом, на самом деле, Symantec AntiVirus, как и Symantec Client Firewall, при запуске автозагружаются, только, как и остальные "пропавшие" программы, не отражаются ни в Панели уведомлений, ни в Автозагрузке. Говорит ли все это о том, что Semantec Antivirus и Symantec Client Firewall надо удалять и переустанавливать с нуля?

    С уважением, Станислав
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 20.08.2008 в 16:51. Причина: карантин в теме

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Просканьте систему AVPTool - ссылку найдете в подписи.

    Если будет выпадать в синий экран - удалите из скрипта строку
    SearchRootkit(true, true);

    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\VIDEO.sys','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\winhelp32.exe','');
     QuarantineFile('C:\WINDOWS\system32\vmmreg32.dll','');
     QuarantineFile('c:\windows\system32\winhelp32.exe','');
     DeleteFile('c:\windows\system32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\winhelp32.exe');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\SYSTEM32\vmmreg32.dll');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp');
     DeleteFile('C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe');
     DeleteFile('C:\WINDOWS\system32\blphc11dj0ec2r.scr');
    BC_ImportDeletedList;
    RegKeyParamWrite('HKEY_CURRENT_USER', 'Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Startup', 'REG_EXPAND_SZ', '%USERPROFILE%\Главное меню\Программы\Автозагрузка');
    RegKeyParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders', 'Common Startup', 'REG_EXPAND_SZ', '%ALLUSERSPROFILE%\Главное меню\Программы\Автозагрузка');
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ....
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    19.08.2008
    Сообщений
    10
    Вес репутации
    35

    Warning!Spyware detected on your computer!...

    Доброй ночи

    Простите, но при выполнении последних инструкций я допустил две неточности, ну а судить Вам:
    1. AVPTool я запустил в режиме лечения и пытался с ее помощью лечить, т.е. удалять. И только после этого просто отсканировал и выполнил скрипт.
    2. HijackThis был запущен уже после подключения в Msconfig-е всех служб антивируса и фаервола и перезапуска (это естественно в логе видно).

    По видимым проявлениям:
    1. Был один BSOD при первом запуске автолечения AVPTool в Безопасном режиме. При запуске в Обычном режиме скрипт отработал без BSOD.
    2. После выполнения скриптов AVZ, подключения антивируса и фаервола, Symantec Antivirus, после перезагрузки компьютера, показал, что вылечил (удалил или переместил в BackUp) 4 файла, (2- downloader-a и 2 Trojan-a), однако не смог указать их ни имен, ни местонахождения??? (В Tamper-истории показывает, что 19 и 20 августа несколько раз блокировал атаки со стороны ...system32\winhelp32.exe и ...Temp\KB908328.exe (PID 3752) на все запускающиеся приложения Symantec Antivirus и Client Firewall).
    Пункт меню Load/Unload по-прежнему блокируется сразу после запуска программы и не позволяет ее выгрузить в течение сеанса.

    С уважением, Станислав
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Давайте так:

    1. Скачать архив: http://freenet-homepage.de/rene-gad/123.zip
    2. Распаковать не в темп-папку, напр. C:\123
    3. Файл 123.pif - переименованный Avenger - запустить
    4. Подтвердить все, откроется окно.
    5. Поставить галку Scan for Rootkits
    6. Скопировать скрипт в окно:
    Код:
    files to delete: 
    c:\windows\system32\winhelp32.exe
    C:\WINDOWS\system32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\winhelp32.exe
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.sys
    C:\WINDOWS\SYSTEM32\drivers\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\VIDEO.sys
    C:\WINDOWS\SYSTEM32\vmmreg32.dll
    C:\WINDOWS\SYSTEM32\webmin\VIDEO.bkp
    C:\WINDOWS\SYSTEM32\webmin\vmmreg32.bkp
    C:\WINDOWS\SYSTEM32\webmin\winhelp32.exe
    7. Закрыть все окна кроме Avenger
    8. Запустить программу, все сообщения подтвердить
    9. ПК перегрузится. После перезагрузки могут появиться сообщения об ошибках чтения драйвов - проигнорировать.
    10. Откроется окошко с логом. Его сохранить и прикрепить к сообщению.
    11. Повторить логи АВЗ и Hijackthis и прикрепить к сообщению.
    Последний раз редактировалось Rene-gad; 21.08.2008 в 10:04.

  8. #7
    Junior Member Репутация
    Регистрация
    19.08.2008
    Сообщений
    10
    Вес репутации
    35

    Warning!Spyware detected on your computer!...

    Добрый день

    Похоже лед тронулся....

    При первом запуске Avenger , было отказано в\ допуске к реестру (Error: Couldn't register clean up). Просто так, с горя, решил попробовать в Безопасном - с тем же, ест-но, результатом.
    Запустился в Обычном реж и прогнал коротко AVZ, тут же прогнал AVP в авторежиме - тот подготовил на удаление при перезагрузке все тот же набор. Не перезагружаясь запустил Avenger - и он пошел!, но после перезагрузки окно с логом не появилось, зато поочередно пошли Win-окна "Не удалось открыть след...файл: Файл winhelp32.bkp" - и так все по списку с расширением .bkp. Случайно на одном нажал ОК - пошел поиск соотв-я по адресу http://shell.windows.com/fileassoc/f...D=0419&Ext=bkp.
    Еще раз запустил Avenger - опять отработал нормально и после презагрузки появилось окно с log
    После создания логов AVZ проверил записи автозагрузки msconfig и в редакторе RegCleaner - впервые за эти дни стали удаляться (т.е. 5 записей winhelp32)

    Несмотря на сделанные Вами сейчас выводы и подсказки - процесс ведъ еще не полностью завершен???, ОЧЕНЬ ПРОШУ дать рекомендации по следующим вопросам:
    1. В логе HiJack показаны записи со ссылками на missing файлы
    - надо ли их все пофиксить, или просто убрать через редактор реестра, или?...
    2. Потеряны все записи в Автозагрузке - говорит ли это о том, что надо переустанавливать программы или обновлять Win- т.к. несмотря на устаноку опций в каоком-то софте на автозагрузку - он пока не "восстановился" и м.б. работает некорректно? не понятно - например, тот же Symantec на самом деле автозагружается (понятно, что это особый случай) и установлена опция значка в Sys Tray - но в панели уведомлений так ничего и не появляется. Пока не заработал пункт меню Load/Unload - заблокирован по-прежнему , срабатывает только при ручном запуске. Видимо, надо деинсталл.., зачищать и ставить по-новой?
    3. Avenger, видимо после как отработал, сам создал папку Avenger в корне С: и поместил туда файл backup.zip, в котором находится вся зараза удаленная по скрипту и, видимо, тот же лог-файл, который я сохранил, но пароль архива не virus - Вам его высылать?

    с уважением, ,..
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    пофиксите ...
    Код:
    O2 - BHO: myiebho - {7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD} - %SystemRoot%\system32\vmmreg32.dll (file missing)
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7C6E1044-DBF1-EDB3-57BB-D40A130EA5BD}');
     DeleteService('VIDEO');
     QuarantineFile('zqnqcvda.sys','');
     DeleteFile('C:\WINDOWS\SYSTEM32\VIDEO.sys');
     DeleteFile('C:\WINDOWS\system32\vmmreg32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    19.08.2008
    Сообщений
    10
    Вес репутации
    35
    После последних процедур - еще одно видимое изменение: как я уже говорил все это время я вынужден отключать антивирус (это, к сожалению, уже не меняется) только через msconfig -
    - но при этом Win вообще не выдавал (а должен) при запуске сообщение, что работает в диагностическом режиме, а теперь оно опять появилось.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    ничего плохого , автозагрузку можно поправить этим ...

  12. #11
    Junior Member Репутация
    Регистрация
    19.08.2008
    Сообщений
    10
    Вес репутации
    35
    Уважаемые Mrs. V-Bond & Rene-Gad,
    ГРОМАДНЫЕ Вам СПАСИБЫ за ваш труд !!!

    Если можно - прошу не убивать тему ещё хотя бы 1 сутки - на всякий случай....

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\video.sys - Trojan-PSW.Win32.Agent.knw (DrWEB: Trojan.Siggen.172)
      2. c:\\windows\\system32\\vmmreg32.dll - Trojan.Win32.BHO.gcs (DrWEB: Trojan.Click.20003)
      3. c:\\windows\\system32\\webmin\\winhelp32.exe - Trojan-PSW.Win32.Agent.knx (DrWEB: Trojan.MulDrop.18472)
      4. c:\\windows\\system32\\winhelp32.exe - Trojan-PSW.Win32.Agent.knx (DrWEB: Trojan.MulDrop.18472)


  • Уважаемый(ая) СтаниславБК, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 22
      Последнее сообщение: 22.02.2009, 07:16
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    4. Ответов: 1
      Последнее сообщение: 29.09.2008, 09:38
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 17:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01369 seconds with 17 queries