Показано с 1 по 11 из 11.

На рабочем столе вместо заставки "Spyware detected on you computer!" (заявка № 30625)

  1. #1
    Junior Member Репутация
    Регистрация
    20.09.2008
    Сообщений
    5
    Вес репутации
    57

    На рабочем столе вместо заставки "Spyware detected on you computer!"

    Здравствуйте, в общем включив позавчера машину обнаружил это окно и машина ведет себя странно(открываются окна не те которые запускаешь, постоянно пытается сам подключиться к сети). Своим стандартным антивирусом сканил, он находит но ничего не может сделать с зараженныи файлами.
    Помогите пожалуйста разобраться с этой бедой, не возможно работать.
    логи прилагаются.
    Вложения Вложения
    Последний раз редактировалось Alex_Goodwin; 22.09.2008 в 01:40.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\KYE\Setup.exe','');
     QuarantineFile('C:\WINDOWS\System32\atiptaxx.exe','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\sssvcs.exe','');
     QuarantineFile('C:\WINDOWS\system32\lcsass.exe','');
     QuarantineFile('C:\WINDOWS\System32\blphc7d8j0erk5.scr','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winwi60.sys','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windg21.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winve38.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\System32\drivers\Winve38.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windg21.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwi60.sys');
     DeleteFile('C:\WINDOWS\System32\blphc7d8j0erk5.scr');
     DeleteFile('C:\WINDOWS\system32\lcsass.exe');
     DeleteFile('C:\WINDOWS\system32\sssvcs.exe');
     DeleteFile('C:\WINDOWS\services.exe');
    BC_ImportAll;
    BC_DeleteSvc('Winve38');
    BC_DeleteSvc('Winwi60');
    BC_DeleteSvc('Windg21');
    BC_DeleteSvc('ThemesRpcSs');
    BC_DeleteSvc('SwPrvSENS');
    BC_DeleteSvc('Netman Licensing Service');
    BC_DeleteSvc('BrowserSpooler');
    BC_DeleteSvc('BITSRpcSs');
    ExecuteSysClean;
    ExecuteRepair(5);
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=30625

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,userinit.exe
    Повторите логи.

    И нам нужен в теме не virusinfo_cure.zip, а virusinfo_syscure.zip

  4. #3
    Junior Member Репутация
    Регистрация
    20.09.2008
    Сообщений
    5
    Вес репутации
    57
    ваши рекомендации выполнил файл карантина отправил.
    вложения добавил.
    Вложения Вложения

  5. #4
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1808
    Скачать,меню,File,появится аналог проводника,найти:

    Код:
    C:\WINDOWS\System32\Drivers\Winve38.sys
    правая кнопка мыши Force Delete на запрос о перезагрузке ответьте положительно.

    Пофиксить

    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\atiptaxx.exe','');       
     QuarantineFile('C:\WINDOWS\Temp\~DFFB30.tmp','');
     QuarantineFile('C:\Program Files\ASWPro\ASWPro.exe','');
     DeleteService('Winve38');
     DeleteService('ProtectedStoragedmserver');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winve38.sys');
     DeleteFile('C:\DOCUME~1\ПОЛЬЗО~1\LOCALS~1\Temp\KYE\Setup.exe');
     DeleteFile('C:\Program Files\ASWPro\ASWPro.exe');
     DeleteFile('C:\WINDOWS\Temp\~DFFB30.tmp');
    BC_ImportALL;  
    ExecuteSysClean;
    BC_DeleteSvc('Winve38');
    BC_DeleteSvc('ProtectedStoragedmserver');    
    BC_Activate;
    ExecuteRepair(5 );
    ExecuteRepair(6 );
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');    
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  6. #5
    Junior Member Репутация
    Регистрация
    20.09.2008
    Сообщений
    5
    Вес репутации
    57
    карантин отправил, сделал повторные логи.
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Нарушения правил при сборе информации для раздела Помогите.


    - Не обновлена версия Hijackthis. Скачайте последнюю версию по ссылке в правилах.


    Логи выполненные с нарушением правил рассматриваться не будут.
    Спасибо за понимание.


    Система у Вас однако дырявая....

    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\Tap480rprap.sys','');
     DeleteService('Tap480rprap');
     DeleteFile('C:\WINDOWS\System32\DRIVERS\Tap480rprap.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Tap480rprap');
    SetAVZPMStatus(True);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  8. #7
    Junior Member Репутация
    Регистрация
    20.09.2008
    Сообщений
    5
    Вес репутации
    57
    рекомендации выполню завтра когда доберусь до машины. дырявая не то слово, у мя чувсто что все это приходит из локалки и на всех компах открытые для широкого доступа папки и диски.
    может подскажете какие мероприятия провести перед лечением, а то проверяю после скриптов 3мя прогами все чисто, подключаюсь к локалке чтоб выйти в нет и посмотреть ваши рекомендации и все начинается по новой!

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от onebe Посмотреть сообщение
    дырявая не то слово
    Ну так у Вас Сервис Пак 1 стоит... Вы лучше машину из сети уберите и работайте с другой если есть такая возможность.

  10. #9
    Junior Member Репутация
    Регистрация
    20.09.2008
    Сообщений
    5
    Вес репутации
    57
    нет такой возможности...
    может обновления сервис пак3 мне поможет, смена инет браузера?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ставить обновления на зараженную машину бессмысленно.Попробуем ограничить доступ к машине.
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему, далее по тексту.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 49
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) onebe, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:19
    2. Ответов: 9
      Последнее сообщение: 22.02.2009, 06:19
    3. Ответов: 5
      Последнее сообщение: 22.02.2009, 05:59
    4. Ответов: 5
      Последнее сообщение: 22.02.2009, 05:58
    5. Ответов: 3
      Последнее сообщение: 20.08.2008, 09:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00629 seconds with 20 queries