Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Фон: Warning! spyware detected on your computer (заявка № 28979)

  1. #1
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57

    Question Фон: Warning! spyware detected on your computer

    Здраствуйте!

    Был в инете. Потом вижу пропали обои с рабочего стола, фон стал белым. Мой сторож NOD 32 стал выдавать сообщения типа вирус троян, его название ну и то что он очищен. удален, изолирован, и так много раз. Пропали вкладки рабочий стол и заставка в свойствах. Перезагрузил комп и увидел такое сообщение на красном окне:
    Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer.
    Я обновил базу НОД и прогнал весь комп по полной нашло много чего, лечить не вышло, все удалило. Потом я обновил виндовс на безопасность, перезагрузился, красное окно исчезло, фон стал синим но вкладки так и не появились. Нашол ваш сайт, все сделал как написано в ваших правилах, ничего не изменилось. Теперь только надеюсь на вашу помощь.

    Прилагаю логи:
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Отключите
    - ПК от интернета/локалки
    - Антивирус/ Файрвол.
    - Системное востановление.
    - Выполните скрипт @ avz
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    
     QuarantineFile('C:\WINDOWS\system32\ipp20\ippmpa6.dll','');
     QuarantineFile('C:\Program Files\DivX\DivX Converter\dpil100.dll','');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     DeleteService('Winyd20');
     DeleteService('Winxk18');
     QuarantineFile('C:\windows\System32\Drivers\Winxk18.sys','');
     DeleteService('Winsm53');
     QuarantineFile('C:\windows\System32\drivers\Winsm53.sys','');
     DeleteService('Winna75');
     QuarantineFile('C:\windows\System32\drivers\Winna75.sys','');
     DeleteService('Winfr86');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winfr86.sys','');
     DeleteService('Winco42');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winco42.sys','');
     QuarantineFile('C:\windows\system32\DRIVERS\Mama.sys','');
     QuarantineFile('C:\windows\system32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\windows\System32\Drivers\dtscsi.sys','');
     QuarantineFile('C:\Program Files\MyProxy\MyProxy.dll','');
     DeleteFile('C:\WINDOWS\System32\drivers\Winco42.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winfr86.sys');
     DeleteFile('C:\windows\System32\drivers\Winna75.sys');
     DeleteFile('C:\windows\System32\drivers\Winsm53.sys');
     DeleteFile('C:\windows\System32\Drivers\Winxk18.sys');
     DeleteFile('C:\windows\System32\drivers\Winyd20.sys');
     DeleteFile('C:\WINDOWS\system32\ipp20\ippmpa6.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    executerepair(6);
    executerepair(8);
    executerepair(9);
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57
    Здраствуйте.
    Большое спасибо, все сделал как вы писали. Но опять идут какие то атаки, так как сторож НОД 32 опять ругается, пишет троянская программа, удален, изолирован итак уже 4 раза, разные. Посмотрите что это? И еще может подскажите какая сейчас наилучшая антивирусная программа, может стоит поменять? И еще извините меня пожалуйста, но я не могу найти, где у меня находиться папка с карантином, подскажите?
    Заранее благодарен за ответ.

    Прилагаю логи:
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Нарушения правил при сборе информации для раздела Помогите.


    - Не закрыты все программы
    - Не запущен Интернет Эксплорер.
    - Не выключен установленный антивирус.


    Логи выполненные с нарушением правил рассматриваться не будут.
    Спасибо за понимание.


    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\windows\SYSTEM32\WinCtrl32.dll
    C:\windows\SYSTEM32\WinCtrl32.dl_
    C:\windows\SYSTEM32\WinCtrl32.bak
    C:\windows\System32\drivers\Winqm20.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('UPSWMPNetworkSvc');
     DeleteService('RpcLocatorProtectedStorageHTTPFilter');
     DeleteService('RpcLocatorProtectedStorage');
     DeleteService('ImapiServicestisvc');
     DeleteService('CiSvcSchedule');
     DeleteService('Winqm20');
     DeleteService('Bonjour Service');
     QuarantineFile('C:\windows\System32\drivers\Winqm20.sys','');
     QuarantineFile('C:\windows\system32\~.exe/r','');
     QuarantineFile('C:\windows\SYSTEM32\WinCtrl32.dll','');
     DeleteFile('C:\windows\SYSTEM32\WinCtrl32.dll');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('C:\windows\system32\~.exe/r');
     DeleteFile('C:\windows\System32\drivers\Winqm20.sys');
    BC_ImportAll;
    ExecuteSysClean; 
     BC_DeleteSvc('UPSWMPNetworkSvc');
     BC_DeleteSvc('RpcLocatorProtectedStorageHTTPFilter');
     BC_DeleteSvc('RpcLocatorProtectedStorage');
     BC_DeleteSvc('ImapiServicestisvc');
     BC_DeleteSvc('CiSvcSchedule');
     BC_DeleteSvc('Winqm20');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57
    Здраствуйте.
    Извините, старался делать все по правилам, может что-то упустил.
    Также сделал все как вы писали. Нашол только это: C:\windows\SYSTEM32\WinCtrl32.dll. И еще раньше до этих троянов у меня появилась такая проблема: при выключении или перезагрузке компьютера проскакивает окошко предупреждения: dwwin.exe в заголовке, а ниже "сбой инициализации из-за остановки рабочей станции". Она и сейчас есть. Может посоветуете, как избавиться от этого окошка, и что это? И еще может подскажите какая сейчас наилучшая антивирусная программа, может стоит поменять?
    Заранее благодарен за ответ.

    Логи прилагаю.
    Вложения Вложения
    Последний раз редактировалось merdok; 27.08.2008 в 15:21.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Больше проблем в логах не вижу.

    По Вашей другой проблеме: http://www.google.de/search?q=%D1%81...ient=firefox-a

    А насчет антивируса - а чем Вам Ваш не подходит? Если Вы ищете АВ, который будет все ловить - таких не существует и никогда не будет существовать.

  8. #7
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57

    Подтормаживает система...?

    Здраствуйте.
    Снова должен к вам обратиться за помощью.
    Что-то у меня начала подтормаживать система. И езэт ругаеться на вирусы. Сделал полную проверку системы, нашол трояны, удалил, но проблема осталась. Посмотрите в логах, что может быть?
    Заранее благодарен за ответ.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 21.09.2008 в 12:26.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{4E7BD74F-2B8D-469E-8DA9-FD60BB9AAE33}');
     QuarantineFile('C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL','');
     QuarantineFile('C:\windows\system32\~.exe/r','');
     DeleteService('Winug20');
     DeleteService('Winhs42');
     DeleteService('Winhb64');
     DeleteService('Winfi20');
     DeleteService('Vgm07');
     DeleteService('Jmt76');
     QuarantineFile('C:\windows\System32\Drivers\Jmt76.sys','');
     DeleteService('ati7elxx');
     DeleteService('ati6rhxx');
     DeleteService('ati6jyxx');
     DeleteService('ati5vtxx');
     DeleteService('ati4wexx');
     DeleteService('ati2lbxx');
     QuarantineFile('C:\windows\System32\Drivers\ati7elxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati6rhxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati6jyxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati5vtxx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati4wexx.sys','');
     QuarantineFile('C:\windows\System32\Drivers\ati2lbxx.sys','');
     TerminateProcessByName('c:\windows\system32\cpl32ver.exe');
     QuarantineFile('c:\windows\system32\cpl32ver.exe','');
     DeleteFile('c:\windows\system32\cpl32ver.exe');
     DeleteFile('C:\windows\System32\Drivers\ati2lbxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati4wexx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati5vtxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati6jyxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati6rhxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati7elxx.sys');
     DeleteFile('C:\windows\System32\Drivers\Jmt76.sys');
     DeleteFile('C:\windows\System32\Drivers\Vgm07.sys');
     DeleteFile('C:\windows\System32\drivers\Winfi20.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winhb64.sys');
     DeleteFile('C:\windows\System32\drivers\Winhs42.sys');
     DeleteFile('C:\windows\System32\drivers\Winug20.sys');
     DeleteFile('C:\windows\system32\~.exe/r');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\PROGRA~1\VMNTOO~1\VMNTOO~1.DLL');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 2 правил
    повторите логи

  10. #9
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57
    Все сделал.
    Вот логи:
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{065E29A7-1A1D-4E86-BF4F-ED3C2A541775}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{1B06BB27-FE1A-4660-BA5D-4DF12452DB5A}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{4692A0AE-D95A-4CAC-9075-8D0857018214}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{7919F4ED-CA2C-47C5-AE07-E4F8CD4760AE}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\..\{86A71651-F502-4D27-979D-8905804474D2}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155
    O17 - HKLM\System\CS3\Services\Tcpip\..\{065E29A7-1A1D-4E86-BF4F-ED3C2A541775}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CS4\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155
    O17 - HKLM\System\CS4\Services\Tcpip\..\{065E29A7-1A1D-4E86-BF4F-ED3C2A541775}: NameServer = 85.255.116.154,85.255.112.155
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.116.154 85.255.112.155
    O20 - Winlogon Notify: WinCtrl32 - C:\windows\
    Нарушения правил при сборе информации для раздела Помогите.


    - Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
    - Не выключено системное восстановление.
    - Не закрыты все программы
    - Не запущен Интернет Эксплорер.
    .


    Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
    Повторите 3 лога в соответствии с правилами.
    Спасибо за понимание.

  12. #11
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57
    Прошу прощения, снова что-то не догледел. Извините, буду стараться быть внимательнее.
    Логи:
    Вложения Вложения

  13. #12
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ati7etxx');
     DeleteService('ati1dxxx');
     DeleteFile('C:\windows\System32\Drivers\ati7etxx.sys');
     DeleteFile('C:\windows\System32\Drivers\ati1dxxx.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_DeleteSvc('ati7etxx');
    BC_DeleteSvc('ati1dxxx');    
    BC_Activate;
    ExecuteRepair(2 );    
    RebootWindows(true);
    end.
    Повторите логи...

  14. #13
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57
    Чето у меня проблемы с инетом были. Пока не почистил весь кэш и тэмп не мог соединиться.
    Вот логи:
    Вложения Вложения

  15. #14
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\Program Files\MyProxy\MyProxy.dll','');
    end.
    пришлите карантин согласно приложения 2 правил

  16. #15
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57
    Карантин выслал. А в логах я так понял уже все хрошо?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от merdok Посмотреть сообщение
    А в логах я так понял уже все хрошо?
    Плохого не видно, насколько все стало хорошо - покажут следующие пару дней

  18. #17
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57
    А насчет пару дней это шутка? Или мне надо что-то ждать?

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от merdok Посмотреть сообщение
    А насчет пару дней это шутка? Или мне надо что-то ждать?
    Если Вы понимаете разницу между НЕ ВИДНО и НЕТ, то зачем задаете вопрос ?

  20. #19
    Junior Member Репутация
    Регистрация
    25.08.2008
    Сообщений
    13
    Вес репутации
    57

    Тормозит компьютер...

    Здраствуйте.
    Снова вынужден обратиться к вам за помощью.
    Чучуть подтормаживает компьютер, а особенно сильно - когда очищаю корзину, происходит как-бы зависание после очистки. Ну и когда запускаю программу The Bat, она запускаеться ну очень долго и в процесе очень тормозит, когда закрываю тоже зависание. Я ее сносил и снова ставил ничего не помогло. Антивирусами проверял ничего не изменилось. Посмотрите пожалуйса логи все ли там в порядке.
    Заранее благодарен за ответ.

    Логи:
    Вложения Вложения

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего зловредного не видать. Службу Bonjour удалите - в разделе Чаво есть описание.
    Попробуйте удалить/отключить ЕСЕТ.
    Windows Firewall активна? Если Да - попробуйте без нее.

  • Уважаемый(ая) merdok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 22
      Последнее сообщение: 22.02.2009, 07:16
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    4. Ответов: 1
      Последнее сообщение: 29.09.2008, 10:38
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 18:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00713 seconds with 18 queries