Показано с 1 по 5 из 5.

Spyware detected on your computer и еще куча всего (заявка № 31155)

  1. #1
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    4
    Вес репутации
    35

    Spyware detected on your computer и еще куча всего

    Здравствуйте.
    Сегодня с утра обнаружил "синий экран смерти" с надписью Spyware detected on your computer.
    Уже сталківался с такой штукой дома и, с вашей помощью, победил. Поэтому обращаюсь повторно, очень надеяс на оперативность, т.к. теперь уже речь идет о рабочем компьютере.

    Кроме этой наблички на десктопе:
    -самопроизвольный запуск браузера и форвард на непонятне сайты
    - постоянные попытки что-то скачать из интернета (какие-то pdf-файлы)
    - ну и так, по мелочи

    Еще раз заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    На время выполнения скрипта, отключитесь от сети и отключите антивирусный монитор.
    Пофиксите с помощью Hijackthis строчки:
    Код:
    O4 - HKLM\..\Run: [UpdateWin] C:\WINDOWS\system32\adsntd.exe
    O4 - HKLM\..\Run: [WinLogon] C:\WINDOWS\winlogon.exe
    O4 - HKLM\..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe
    O4 - HKLM\..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe
    O4 - HKLM\..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe
    O4 - HKLM\..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe
    O4 - HKLM\..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe
    O4 - HKLM\..\Run: [lphc3urj0ej5p] C:\WINDOWS\system32\lphc3urj0ej5p.exe
    O4 - HKLM\..\RunServices: [UpdateWin] C:\WINDOWS\system32\adsntd.exe
    O4 - HKCU\..\Run: [system] c:\SVCHOST.exe
    O4 - HKCU\..\Run: [UpdateWin] C:\WINDOWS\system32\adsntd.exe
    O4 - HKCU\..\Run: [msctrl.exe] C:\Program Files\Microsoft Security Adviser\msctrl.exe
    O4 - HKCU\..\Run: [msavsc.exe] C:\Program Files\Microsoft Security Adviser\msavsc.exe
    O4 - HKCU\..\Run: [msscan.exe] C:\Program Files\Microsoft Security Adviser\msscan.exe
    O4 - HKCU\..\Run: [msiemon.exe] C:\Program Files\Microsoft Security Adviser\msiemon.exe
    O4 - HKCU\..\Run: [msfw.exe] C:\Program Files\Microsoft Security Adviser\msfw.exe
    O4 - HKCU\..\RunServices: [UpdateWin] C:\WINDOWS\system32\adsntd.exe
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\winlogon.exe');
     TerminateProcessByName('c:\program files\microsoft security adviser\msscan.exe');
     TerminateProcessByName('c:\program files\microsoft security adviser\msfw.exe');
    TerminateProcessByName('c:\program files\microsoft security adviser\msavsc.exe');
     TerminateProcessByName('c:\windows\system32\lphc3urj0ej5p.exe');
     TerminateProcessByName('c:\program files\microsoft security adviser\msctrl.exe');
     TerminateProcessByName('c:\program files\microsoft security adviser\msiemon.exe');
     TerminateProcessByName('c:\program files\microsoft security adviser\mssadv.exe');
     QuarantineFile('C:\autorun.wsh','');
     QuarantineFile('C:\autorun.exe','');
     QuarantineFile('C:\WINDOWS\system32\adsntd.exe','');
     QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
     QuarantineFile('c:\SVCHOST.exe','');
     QuarantineFile('C:\Inet\APIv2srv.exe','');
     QuarantineFile('C:\WINDOWS\System32\win32k.sys','');
     QuarantineFile('C:\WINDOWS\system32\lphc3urj0ej5p.exe','');
     QuarantineFile('C:\WINDOWS\system32\blphc3urj0ej5p.scr','');
     QuarantineFile('c:\windows\winlogon.exe','');
     QuarantineFile('c:\program files\microsoft security adviser\msscan.exe','');
     QuarantineFile('c:\program files\microsoft security adviser\mssadv.exe','');
     QuarantineFile('c:\program files\microsoft security adviser\msiemon.exe','');
     QuarantineFile('c:\program files\microsoft security adviser\msfw.exe','');
     QuarantineFile('c:\program files\microsoft security adviser\msctrl.exe','');
     QuarantineFile('c:\program files\microsoft security adviser\msavsc.exe','');
     QuarantineFile('c:\windows\system32\lphc3urj0ej5p.exe','');
     DeleteFile('c:\windows\system32\lphc3urj0ej5p.exe');
     BC_DeleteFile('c:\windows\system32\lphc3urj0ej5p.exe');
     DeleteFile('c:\program files\microsoft security adviser\msavsc.exe');
     BC_DeleteFile('c:\program files\microsoft security adviser\msavsc.exe');
     DeleteFile('c:\program files\microsoft security adviser\msctrl.exe');
     BC_DeleteFile('c:\program files\microsoft security adviser\msctrl.exe');
     DeleteFile('c:\program files\microsoft security adviser\msfw.exe');
     BC_DeleteFile('c:\program files\microsoft security adviser\msfw.exe');
     DeleteFile('c:\program files\microsoft security adviser\msiemon.exe');
     BC_DeleteFile('c:\program files\microsoft security adviser\msiemon.exe');
     DeleteFile('c:\program files\microsoft security adviser\mssadv.exe');
     BC_DeleteFile('c:\program files\microsoft security adviser\mssadv.exe');
     DeleteFile('c:\program files\microsoft security adviser\msscan.exe');
     DeleteFile('c:\windows\winlogon.exe');
     BC_DeleteFile('c:\windows\winlogon.exe');
     DeleteFile('C:\WINDOWS\system32\blphc3urj0ej5p.scr');
     BC_DeleteFile('C:\WINDOWS\system32\blphc3urj0ej5p.scr');
     DeleteFile('C:\WINDOWS\system32\lphc3urj0ej5p.exe');
     BC_DeleteFile('C:\WINDOWS\system32\lphc3urj0ej5p.exe');
     DeleteFile('c:\windows\system32\msvcrtd.exe');
     BC_DeleteFile('c:\windows\system32\msvcrtd.exe');
     DeleteFile('c:\SVCHOST.exe');
     BC_DeleteFile('c:\SVCHOST.exe');
     DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     BC_DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
     DeleteFile('C:\autorun.exe');
     DeleteFile('C:\autorun.wsh');
     BC_DeleteFile('C:\autorun.exe');
     BC_DeleteFile('C:\autorun.wsh');
    Deletefile('C:\WINDOWS\system32\adsntd.exe');
    BC_Deletefile('C:\WINDOWS\system32\adsntd.exe');
     DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
     BC_DeleteSvc('msupdate');
    BC_importquarantinelist;
    BC_Activate;
    ExecuteSysClean;
    executerepair(5);
    executerepair(6);
    executerepair(8);
    RebootWindows(true);
    end.
    После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=31155 , как написано в прил.2 правил, и повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    17.08.2008
    Сообщений
    4
    Вес репутации
    35

    Обновленные логи

    Все сделал: и логи и карантин. НО при логировании после перезагрузки там еще че-то понаходилось (видно было в терминале AVZ).
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteService('Bonjour Service');
     QuarantineFile('C:\WINDOWS\system32\ctfmon.exe','');
     QuarantineFile('C:\0xf9.exe','');
     QuarantineFile('C:\Documents and Settings\Paul\Local Settings\Temp\3324103829.exe','');
     QuarantineFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cab.exe','');
     QuarantineFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cac.exe','');
     QuarantineFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cae.exe','');
     QuarantineFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25caf.exe','');
     QuarantineFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cag.exe','');
     QuarantineFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cai.exe','');
     QuarantineFile('C:\WINDOWS\system32\mssadv.dll','');
     QuarantineFile('D:\autorun.wsh','');
     QuarantineFile('F:\autorun.wsh','');
     DeleteFile('F:\autorun.wsh');
     DeleteFile('D:\autorun.wsh');
     DeleteFile('C:\WINDOWS\system32\mssadv.dll');
     DeleteFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cai.exe');
     DeleteFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cag.exe');
     DeleteFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25caf.exe');
     DeleteFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cae.exe');
     DeleteFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cac.exe');
     DeleteFile('C:\Documents and Settings\Paul\Local Settings\Temp\60325cahp25cab.exe');
     DeleteFile('C:\Documents and Settings\Paul\Local Settings\Temp\3324103829.exe');
     DeleteFile('C:\0xf9.exe');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 48
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\microsoft security adviser\\msavsc.exe - Trojan.Win32.Agent.afid (DrWEB: Trojan.DownLoad.6023)
      2. c:\\program files\\microsoft security adviser\\msctrl.exe - Trojan.Win32.Agent.afid (DrWEB: Trojan.DownLoad.6023)
      3. c:\\program files\\microsoft security adviser\\msfw.exe - Trojan.Win32.Agent.afid (DrWEB: Trojan.DownLoad.6023)
      4. c:\\program files\\microsoft security adviser\\msiemon.exe - Trojan.Win32.Agent.afid (DrWEB: Trojan.DownLoad.6023)
      5. c:\\program files\\microsoft security adviser\\mssadv.exe - Trojan-Clicker.Win32.VB.ckd (DrWEB: Trojan.Click.20521)
      6. c:\\program files\\microsoft security adviser\\msscan.exe - Trojan.Win32.Agent.afid (DrWEB: Trojan.DownLoad.6023)
      7. c:\\windows\\system32\\adsntd.exe - Backdoor.Win32.UltimateDefender.gen (DrWEB: Trojan.Packed.612)
      8. c:\\windows\\system32\\blphc3urj0ej5p.scr - Trojan.Win32.FraudPack.ijv (DrWEB: Trojan.Fakealert.1321)
      9. c:\\windows\\system32\\lphc3urj0ej5p.exe - Trojan-Downloader.Win32.Small.aedj (DrWEB: Trojan.Fakealert.147
      10. c:\\windows\\winlogon.exe - Trojan-Clicker.Win32.Delf.atw (DrWEB: Trojan.Packed.612)


  • Уважаемый(ая) uncas, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 24
      Последнее сообщение: 22.02.2009, 07:22
    2. Ответов: 10
      Последнее сообщение: 22.02.2009, 07:16
    3. Ответов: 6
      Последнее сообщение: 22.02.2009, 06:14
    4. Ответов: 11
      Последнее сообщение: 20.09.2008, 15:52
    5. Ответов: 9
      Последнее сообщение: 01.07.2008, 17:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01255 seconds with 17 queries