Junior Member
Вес репутации
57
Warning!Spyware detected on your computer!
При выходе на рабочий стол после загрузке компьютера вместо старого фон окно
с надписью:
Warning!Spyware detected on your computer!
Install an antivirus or spyware remover to clean your computer.
А под этими надписями:
Warning!Win32/adware.virtumonde
detected on your computer Danger!
Warning!Win32/Privacyremover.M64
detected on your computer Danger!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
Begin
ClearQuarantine;
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\services.exe','');
QuarantineFile('C:\WINDOWS\system32\twext.exe','');
QuarantineFile('C:\WINDOWS\system32\lphctd6j0e37p.exe','');
BC_DeleteSvc('Winfl05');
BC_DeleteSvc('xmlprovW32Time');
BC_DeleteSvc('WZCSVCSCardSvrTermService');
BC_DeleteSvc('wuauservWZCSVCseclogon');
BC_DeleteSvc('wuauservWZCSVC');
BC_DeleteSvc('wscsvcRasManNtmsSvc');
BC_DeleteSvc('Wmidmserver');
BC_DeleteSvc('WmdmPmSNdmserver');
BC_DeleteSvc('WmdmPmSNDhcp');
BC_DeleteSvc('winmgmtNetlogonhelpsvc');
BC_DeleteSvc('winmgmtNetlogon');
BC_DeleteSvc('WebClientDhcp');
BC_DeleteSvc('W32TimeMSIServer');
BC_DeleteSvc('UPSRemoteAccessNtLmSspSwPrv');
BC_DeleteSvc('UPSRemoteAccessNtLmSsp');
BC_DeleteSvc('UPSRemoteAccess');
BC_DeleteSvc('TlntSvrWmdmPmSNdmserver');
BC_DeleteSvc('TermServicedmserver');
BC_DeleteSvc('SwPrvAntiVirService');
BC_DeleteSvc('SSrvDhcpMDM');
BC_DeleteSvc('SSrvDhcp');
BC_DeleteSvc('srservicewuauserv');
BC_DeleteSvc('SharedAccessDnscacheKMDevmonSrv');
BC_DeleteSvc('SENS Driver HPZ12');
BC_DeleteSvc('seclogonAntiVirScheduler');
BC_DeleteSvc('SCardSvrTermService');
BC_DeleteSvc('RSVPProtectedStorage');
BC_DeleteSvc('RasManNtmsSvcWmidmserverwscsvc');
BC_DeleteSvc('RasManNtmsSvcWmidmserver');
BC_DeleteSvc('RasManNtmsSvc');
BC_DeleteSvc('RasAutoRasAuto');
BC_DeleteSvc('ProtectedStorageAppMgmt');
BC_DeleteSvc('PmlPlugPlay');
BC_DeleteSvc('osewinmgmt');
BC_DeleteSvc('Nlaupnphost');
BC_DeleteSvc('NlaTapiSrv');
BC_DeleteSvc('NlaPolicyAgent');
BC_DeleteSvc('NetDDEdsdmRasMan');
BC_DeleteSvc('MSIServerRemoteAccess');
BC_DeleteSvc('MDMSchedule');
BC_DeleteSvc('LmHostsTlntSvr');
BC_DeleteSvc('lanmanworkstationstisvc');
BC_DeleteSvc('InterbaseServerWmidmserver');
BC_DeleteSvc('ImapiServiceW32TimeMSIServer');
BC_DeleteSvc('FastUserSwitchingCompatibilityCOMSysApp');
BC_DeleteSvc('DnscacheKMDevmonSrv');
BC_DeleteSvc('CryptSvcseclogonAntiVirScheduler');
BC_DeleteSvc('COMSysAppImapiServiceW32TimeMSIServer');
BC_DeleteSvc('AudioSrvMSDTC');
BC_DeleteSvc('AudioSrvmnmsrvc');
BC_DeleteSvc('AntiVirServiceRSVP');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
SysCleanAddFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\lphctd6j0e37p.exe');
DeleteFile('C:\WINDOWS\system32\twext.exe');
DeleteFile('C:\WINDOWS\system32\blphctd6j0e37p.scr');
DeleteFile('C:\WINDOWS\services.exe');
ExecuteRepair(5);
ExecuteRepair(6);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.
Компьютер перезагрузится.
Пришлите карантин так, как написано в приложении 2 Правил.
Обновите базы AVZ!
Сделайте новые логи и приложите к этой теме.
Junior Member
Вес репутации
57
Вылечилось, спасибо. Карантин отправил.
Вот новые файлы.
Вложения
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winvc62');
DeleteService('Winvb38');
DeleteService('Winub51');
DeleteService('Winrx17');
DeleteService('Winqv51');
DeleteService('Winlr62');
DeleteService('Winlr16');
DeleteService('UPSRemoteAccessNtLmSspwuauservWZCSVCseclogon');
DeleteService('DnscacheKMDevmonSrvRasManNtmsSvc');
DeleteService('CryptSvc Driver HPZ12');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winci84.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr16.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr62.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqv51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub51.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvb38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc62.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winvc62');
BC_DeleteSvc('Winvb38');
BC_DeleteSvc('Winub51');
BC_DeleteSvc('Winrx17');
BC_DeleteSvc('Winqv51');
BC_DeleteSvc('Winlr62');
BC_DeleteSvc('Winlr16');
BC_DeleteSvc('UPSRemoteAccessNtLmSspwuauservWZCSVCseclogon');
BC_DeleteSvc('DnscacheKMDevmonSrvRasManNtmsSvc');
BC_DeleteSvc('CryptSvc Driver HPZ12');
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 2 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\lphctd6j0e37p.exe - Backdoor.Win32.Frauder.fk (DrWEB: Trojan.Packed.636) c:\\windows\\system32\\twext.exe - Trojan-Spy.Win32.Zbot.exv (DrWEB: Trojan.PWS.Panda.12)