Junior Member
Вес репутации
58
Warning! Spyware detected on your computer!
Здравствуйте, помогите пожалуйста изличиться.
На рабочем столе вместо обоев сообщение: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer". Также в свойствах рабочего стола перестали отображаться вкладки "рабочий стол" и "заставка"
Сделал все по правилам, высылаю логи.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Скачайте IceSword , поищите и скопируйте файлы:
Код:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winwd16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvb38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsy27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsa52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winjp05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winio27.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn73.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhn05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingm05.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfl38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windk28.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winaf06.sys','');
DeleteService('Winxe38');
DeleteService('Winxe27');
DeleteService('Winwd16');
DeleteService('Winvb38');
DeleteService('Winsy27');
DeleteService('Winsa52');
DeleteService('Winjp05');
DeleteService('Winio27');
DeleteService('Winhn73');
DeleteService('Winhn05');
DeleteService('Wingm05');
DeleteService('Winfl38');
DeleteService('Windk28');
DeleteService('Winaf06');
DeleteService('WmiApSrvVSS');
DeleteService('SwPrvClipSrv');
DeleteService('StarWindServiceNetDDEdsdm');
DeleteService('SpoolerRpcSs');
DeleteService('seclogondmserver');
DeleteService('RpcSsUMWdf');
DeleteService('RasManNtmsSvc');
DeleteService('napagentNBService');
DeleteService('MessengerCiSvc');
DeleteService('lanmanworkstationRasManNtmsSvc');
DeleteService('hkmsvcAudioSrvSENS');
DeleteService('hkmsvcAudioSrv');
DeleteService('CryptSvcRemoteRegistry');
DeleteService('COMSysAppAlerter');
DeleteService('ASWLSVCdmadmin');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winaf06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windk28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfl38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingm05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhn73.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winio27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsa52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsy27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc05.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwd16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe27.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe38.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winxe38');
BC_DeleteSvc('Winxe27');
BC_DeleteSvc('Winwd16');
BC_DeleteSvc('Winvb38');
BC_DeleteSvc('Winsy27');
BC_DeleteSvc('Winsa52');
BC_DeleteSvc('Winjp05');
BC_DeleteSvc('Winio27');
BC_DeleteSvc('Winhn73');
BC_DeleteSvc('Winhn05');
BC_DeleteSvc('Wingm05');
BC_DeleteSvc('Winfl38');
BC_DeleteSvc('Windk28');
BC_DeleteSvc('Winaf06');
BC_DeleteSvc('WmiApSrvVSS');
BC_DeleteSvc('SwPrvClipSrv');
BC_DeleteSvc('StarWindServiceNetDDEdsdm');
BC_DeleteSvc('SpoolerRpcSs');
BC_DeleteSvc('seclogondmserver');
BC_DeleteSvc('RpcSsUMWdf');
BC_DeleteSvc('RasManNtmsSvc');
BC_DeleteSvc('napagentNBService');
BC_DeleteSvc('MessengerCiSvc');
BC_DeleteSvc('lanmanworkstationRasManNtmsSvc');
BC_DeleteSvc('hkmsvcAudioSrvSENS');
BC_DeleteSvc('hkmsvcAudioSrv');
BC_DeleteSvc('CryptSvcRemoteRegistry');
BC_DeleteSvc('COMSysAppAlerter');
BC_DeleteSvc('ASWLSVCdmadmin');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Здравствуйте, сделал все описанное заставка все равно осталась.
Нашел только один файл C:\WINDOWS\system32\WinCtrl32.dll - закачал карантин по ссылке
Вложения
выполните скрипт ...
Код:
begin
BC_DeleteSvc('UPSRpcLocator');
DeleteFile('WinCtrl32.dll');
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
повторите логи
Junior Member
Вес репутации
58
Заставка исчезла, закладки в свойствах раб стола появились.
Спасибо.
Вложения
Ничего зловредного в логах нет.
Пофиксите в HijackThis:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Сердце решает кого любить... Судьба решает с кем быть...
Junior Member
Вес репутации
58
Спасибо большое за исцеление !
Не подскажете в дальнейшем в каком нибудь антивируснике появится возможность лечение этого вируса ?
Сообщение от
dimak
Не подскажете в дальнейшем в каком нибудь антивируснике появится возможность лечение этого вируса ?
Сомнительно.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения обнаружены вредоносные программы:
c:\\temp\\1\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)