Junior Member
Вес репутации
58
Появилось окно Wapning! Win Antispyware 2008
Здравствуйте!
Появился красный кружок с крестом,с надписью-Your computer is infected!
Запустила Касперского,потом на рабочем столе стало появляться окно с Xp Sekurity Center,с предложением купить программу,а Касперский отключился.
Затем еще появилось-Wapnind!Win Antivspyware 2008
Компьютер плохо работает, тормозит,невозможно зайти ни на один сайт.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Local Settings\Temp\uninst.exe','');
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
DelBHO('{2670000A-7350-4f3c-8081-5663EE0C6C49}');
DelBHO('{219C3416-8CB2-491a-A3C7-D9FCDDC9D600}');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
QuarantineFile('C:\Program Files\WinAntispyware2008\WinAntispyware2008.exe','');
QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winxe38.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winag16.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Beep.SYS','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteService('Winxe38');
DeleteService('Winag16');
DeleteService('WZCSVCScheduleSysmonLog');
DeleteService('WZCSVCSchedule');
DeleteService('wuauservPolicyAgentMSIServerRpcLocator');
DeleteService('WLSetupSvcSCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
DeleteService('WebClientMDM');
DeleteService('UPSSpooler');
DeleteService('upnphostRemoteAccessmnmsrvcClipSrv');
DeleteService('upnphostRemoteAccessmnmsrvc');
DeleteService('upnphostdmadmin');
DeleteService('TlntSvrSCardSvraspnet_state');
DeleteService('TapiSrvwuauserv');
DeleteService('stisvcPolicyAgentHTTPFilterCryptSvc');
DeleteService('stisvcPolicyAgent');
DeleteService('stisvcFastUserSwitchingCompatibility');
DeleteService('srserviceSchedule');
DeleteService('ShellHWDetectionICFRemoteRegistrylanmanserver');
DeleteService('ShellHWDetectionICF');
DeleteService('ScheduleRpcLocatorDnscacheCryptSvc');
DeleteService('SCardSvraspnet_stateRemoteRegistrylanmanserver');
DeleteService('SCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedulewscsvclanmanserverLVSrvLauncher');
DeleteService('SCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedulewscsvc');
DeleteService('SCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
DeleteService('SCardSvraspnet_state');
DeleteService('SamSsdmadminDnscacheCryptSvc');
DeleteService('RpcLocatorDnscacheCryptSvc');
DeleteService('RemoteRegistrylanmanserver');
DeleteService('RemoteRegistryICF');
DeleteService('RemoteAccessWmi');
DeleteService('RemoteAccessmnmsrvc');
DeleteService('RDSessMgrRDSessMgrFastUserSwitchingCompatibility');
DeleteService('RDSessMgraspnet_state');
DeleteService('RasManSCardSvraspnet_statehelpsvcLmHostsWZCSVCScheduleRpcSs');
DeleteService('RasManSCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
DeleteService('ProtectedStorageSwPrvhelpsvc');
DeleteService('ProtectedStorageSwPrv');
DeleteService('PolicyAgentMSIServerRpcLocator');
DeleteService('PolicyAgentMSIServer');
DeleteService('NtLmSspRasMan');
DeleteService('NetmanSENS');
DeleteService('NetmanRemoteAccess');
DeleteService('Netlogonusnjsvc');
DeleteService('NetlogonTrkWks');
DeleteService('NetlogonCOMSysApp');
DeleteService('mnmsrvcNetDDE');
DeleteService('mnmsrvcHidServ');
DeleteService('mnmsrvcCiSvcRpcLocatorDnscacheCryptSvc');
DeleteService('mnmsrvcCiSvc');
DeleteService('MDMRDSessMgr');
DeleteService('MDMPlugPlay');
DeleteService('LmHostsxmlprov');
DeleteService('LmHostsWZCSVCSchedule');
DeleteService('lanmanserverLVSrvLauncherMDM');
DeleteService('lanmanserverLVSrvLauncher');
DeleteService('HTTPFilterCryptSvchelpsvcLmHostsWZCSVCSchedule');
DeleteService('HTTPFilterCryptSvc');
DeleteService('hpqddsvcRasManSCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
DeleteService('hpqcxs08NetmanTapiSrv');
DeleteService('hpqcxs08Netman');
DeleteService('HidServW32TimeCiSvc');
DeleteService('HidServW32Time');
DeleteService('HidServSCardSvraspnet_stateLmHostsxmlprovTapiSrv');
DeleteService('HidServSCardSvraspnet_stateLmHostsxmlprov');
DeleteService('HidServSCardSvraspnet_state');
DeleteService('helpsvcLmHostsWZCSVCSchedule');
DeleteService('ERSvcSpooler');
DeleteService('DnscacheNetmanRemoteAccess');
DeleteService('DnscacheCryptSvc');
DeleteService('dmserverDcomLaunch');
DeleteService('dmadminDnscacheCryptSvc');
DeleteService('DhcpsrserviceSchedule');
DeleteFile('C:\WINDOWS\System32\Drivers\Beep.SYS');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe38.sys');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\Program Files\WinAntispyware2008\WinAntispyware2008.exe');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\uninst.exe');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Program Files\WinAntispyware2008\Uninstall.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winxe38');
BC_DeleteSvc('Winag16');
BC_DeleteSvc('WZCSVCScheduleSysmonLog');
BC_DeleteSvc('WZCSVCSchedule');
BC_DeleteSvc('wuauservPolicyAgentMSIServerRpcLocator');
BC_DeleteSvc('WLSetupSvcSCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
BC_DeleteSvc('WebClientMDM');
BC_DeleteSvc('UPSSpooler');
BC_DeleteSvc('upnphostRemoteAccessmnmsrvcClipSrv');
BC_DeleteSvc('upnphostRemoteAccessmnmsrvc');
BC_DeleteSvc('upnphostdmadmin');
BC_DeleteSvc('TlntSvrSCardSvraspnet_state');
BC_DeleteSvc('TapiSrvwuauserv');
BC_DeleteSvc('stisvcPolicyAgentHTTPFilterCryptSvc');
BC_DeleteSvc('stisvcPolicyAgent');
BC_DeleteSvc('stisvcFastUserSwitchingCompatibility');
BC_DeleteSvc('srserviceSchedule');
BC_DeleteSvc('ShellHWDetectionICFRemoteRegistrylanmanserver');
BC_DeleteSvc('ShellHWDetectionICF');
BC_DeleteSvc('ScheduleRpcLocatorDnscacheCryptSvc');
BC_DeleteSvc('SCardSvraspnet_stateRemoteRegistrylanmanserver');
BC_DeleteSvc('SCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedulewscsvclanmanserverLVSrvLauncher');
BC_DeleteSvc('SCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedulewscsvc');
BC_DeleteSvc('SCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
BC_DeleteSvc('SCardSvraspnet_state');
BC_DeleteSvc('SamSsdmadminDnscacheCryptSvc');
BC_DeleteSvc('RpcLocatorDnscacheCryptSvc');
BC_DeleteSvc('RemoteRegistrylanmanserver');
BC_DeleteSvc('RemoteRegistryICF');
BC_DeleteSvc('RemoteAccessWmi');
BC_DeleteSvc('RemoteAccessmnmsrvc');
BC_DeleteSvc('RDSessMgrRDSessMgrFastUserSwitchingCompatibility');
BC_DeleteSvc('RDSessMgraspnet_state');
BC_DeleteSvc('RasManSCardSvraspnet_statehelpsvcLmHostsWZCSVCScheduleRpcSs');
BC_DeleteSvc('RasManSCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
BC_DeleteSvc('ProtectedStorageSwPrvhelpsvc');
BC_DeleteSvc('ProtectedStorageSwPrv');
BC_DeleteSvc('PolicyAgentMSIServerRpcLocator');
BC_DeleteSvc('PolicyAgentMSIServer');
BC_DeleteSvc('NtLmSspRasMan');
BC_DeleteSvc('NetmanSENS');
BC_DeleteSvc('NetmanRemoteAccess');
BC_DeleteSvc('Netlogonusnjsvc');
BC_DeleteSvc('NetlogonTrkWks');
BC_DeleteSvc('NetlogonCOMSysApp');
BC_DeleteSvc('mnmsrvcNetDDE');
BC_DeleteSvc('mnmsrvcHidServ');
BC_DeleteSvc('mnmsrvcCiSvcRpcLocatorDnscacheCryptSvc');
BC_DeleteSvc('mnmsrvcCiSvc');
BC_DeleteSvc('MDMRDSessMgr');
BC_DeleteSvc('MDMPlugPlay');
BC_DeleteSvc('LmHostsxmlprov');
BC_DeleteSvc('LmHostsWZCSVCSchedule');
BC_DeleteSvc('lanmanserverLVSrvLauncherMDM');
BC_DeleteSvc('lanmanserverLVSrvLauncher');
BC_DeleteSvc('HTTPFilterCryptSvchelpsvcLmHostsWZCSVCSchedule');
BC_DeleteSvc('HTTPFilterCryptSvc');
BC_DeleteSvc('hpqddsvcRasManSCardSvraspnet_statehelpsvcLmHostsWZCSVCSchedule');
BC_DeleteSvc('hpqcxs08NetmanTapiSrv');
BC_DeleteSvc('hpqcxs08Netman');
BC_DeleteSvc('HidServW32TimeCiSvc');
BC_DeleteSvc('HidServW32Time');
BC_DeleteSvc('HidServSCardSvraspnet_stateLmHostsxmlprovTapiSrv');
BC_DeleteSvc('HidServSCardSvraspnet_stateLmHostsxmlprov');
BC_DeleteSvc('HidServSCardSvraspnet_state');
BC_DeleteSvc('helpsvcLmHostsWZCSVCSchedule');
BC_DeleteSvc('ERSvcSpooler');
BC_DeleteSvc('DnscacheNetmanRemoteAccess');
BC_DeleteSvc('DnscacheCryptSvc');
BC_DeleteSvc('dmserverDcomLaunch');
BC_DeleteSvc('dmadminDnscacheCryptSvc');
BC_DeleteSvc('DhcpsrserviceSchedule');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
58
Cпасибо Вам огромное!Как только выполнила скрипт,появился Касперский и выполнил обновление, кружок исчез,перестали выскакивать эти злосчастные окна.Ура,Касперский заработал
Правда остались окна,указывающие на эти программы на рабочем столе и в программах,можно ли их как-нибудь удалить?По Вашему запросу присылаю карантин.По Касперскому активные угрозы отсутствуют.
Junior Member
Вес репутации
58
Последний раз редактировалось V_Bond; 14.09.2008 в 17:56 .
Причина: карантин в теме .... читаем правила !
Junior Member
Вес репутации
58
Вложения
пофиксите
Код:
O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Program Files\Macrogaming\SweetIMBarForIE\toolbar
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winag16');
BC_DeleteSvc('SysmonLogupnphostRemoteAccessmnmsrvcClipSrv');
BC_DeleteSvc('RDSessMgrFastUserSwitchingCompatibility');
BC_DeleteSvc('PolicyAgentlanmanserverLVSrvLauncher');
BC_DeleteSvc('NtLmSspRasManBITS');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag16.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи
Junior Member
Вес репутации
58
А что означает пофиксите?
Junior Member
Вес репутации
58
Все проделала. Значки с программами остались,посылаю логи...
Вложения
Нарушения правил при сборе информации для раздела Помогите.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
- Не закрыты все программы
- Не выключен установленный антивирус.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
-Пофиксите
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
- Выполните скрипт
Код:
begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Сделайте повторные логи начиная от п.10 правил.
- Прикрепите логи к новому сообщению.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 3 В ходе лечения вредоносные программы в карантинах не обнаружены