Junior Member
Вес репутации
57
Warning! Spyware detected on your computer!
Здравствуйте.
1) Окно: Warning! Spyware detected on your computer! - такой рисунок на рабочем столе.
2) На панели задач справа красный круг с белым крестом и из него постоянно открывается сообщение Your computer is infected.
3) В автозагрузке braviax и buritos
Прошу помощи!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('karina.dat','');
QuarantineFile('hex(7):','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\lphcp21j0elb7.exe','');
QuarantineFile('C:\WINDOWS\system32\jsappcmp.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Yej38.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winns05.sys','');
QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
QuarantineFile('C:\WINDOWS\system32\buritos.exe','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcp21j0elb7.scr','');
DeleteService('Yej38');
DeleteService('WMPNetworkSvcALG');
DeleteService('WmiNetDDE');
DeleteService('Wmi Office Groove Audit Service');
DeleteService('Winns05');
DeleteService('TlntSvrNetlogon');
DeleteService('tcpsr');
DeleteService('TapiSrvwinmgmt');
DeleteService('TapiSrvmnmsrvc');
DeleteService('stisvcRpcLocatorRSVP');
DeleteService('SENSHidServ');
DeleteService('SCardSvrSharedAccess');
DeleteService('RpcSsTlntSvrNetlogon');
DeleteService('RpcLocatorRSVP');
DeleteService('RichVideoDhcp');
DeleteService('RichVideoALG');
DeleteService('RichVideo');
DeleteService('RemoteRegistryShellHWDetectionServiceLayer');
DeleteService('RemoteRegistryShellHWDetection');
DeleteService('RemoteAccessHidServRpcLocator');
DeleteService('RemoteAccessHidServ');
DeleteService('NMSAccessURasAuto');
DeleteService('MSIServerRemoteRegistryShellHWDetection');
DeleteService('InCDsrvEventSystem');
DeleteService('ekrnTapiSrv');
DeleteService('dmserverose');
DeleteService('CreativeWudfSvc');
DeleteService('clr_optimization_v2.0.50727_32upnphost');
DeleteService('Alerter Office Groove Audit Service');
DeleteFile('WinCtrl32.dll');
DeleteFile('karina.dat');
DeleteFile('hex(7):');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\lphcp21j0elb7.exe');
DeleteFile('C:\WINDOWS\system32\jsappcmp.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Yej38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns05.sys');
DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
DeleteFile('C:\WINDOWS\system32\buritos.exe');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\WINDOWS\system32\blphcp21j0elb7.scr');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Yej38');
BC_DeleteSvc('WMPNetworkSvcALG');
BC_DeleteSvc('WmiNetDDE');
BC_DeleteSvc('Wmi Office Groove Audit Service');
BC_DeleteSvc('Winns05');
BC_DeleteSvc('TlntSvrNetlogon');
BC_DeleteSvc('tcpsr');
BC_DeleteSvc('TapiSrvwinmgmt');
BC_DeleteSvc('TapiSrvmnmsrvc');
BC_DeleteSvc('stisvcRpcLocatorRSVP');
BC_DeleteSvc('SENSHidServ');
BC_DeleteSvc('SCardSvrSharedAccess');
BC_DeleteSvc('RpcSsTlntSvrNetlogon');
BC_DeleteSvc('RpcLocatorRSVP');
BC_DeleteSvc('RichVideoDhcp');
BC_DeleteSvc('RichVideoALG');
BC_DeleteSvc('RichVideo');
BC_DeleteSvc('RemoteRegistryShellHWDetectionServiceLayer');
BC_DeleteSvc('RemoteRegistryShellHWDetection');
BC_DeleteSvc('RemoteAccessHidServRpcLocator');
BC_DeleteSvc('RemoteAccessHidServ');
BC_DeleteSvc('NMSAccessURasAuto');
BC_DeleteSvc('MSIServerRemoteRegistryShellHWDetection');
BC_DeleteSvc('InCDsrvEventSystem');
BC_DeleteSvc('ekrnTapiSrv');
BC_DeleteSvc('dmserverose');
BC_DeleteSvc('CreativeWudfSvc');
BC_DeleteSvc('clr_optimization_v2.0.50727_32upnphost');
BC_DeleteSvc('Alerter Office Groove Audit Service');
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Вложения
Скаачать IceSword. В нем найти и удалить (force delete):
c:\windows\buritos.exe
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\cpl32ver.exe','');
TerminateProcessByName('c:\windows\buritos.exe');
QuarantineFile('c:\windows\buritos.exe','');
DeleteFile('c:\windows\buritos.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать новые логи, загрузить карантин.
C:\Program Files\PROWiSe\PROWiSe.exe - Вам известна эта программа?
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Спасибо все в порядке!
Очень помогли!
Вложения
Для порядка профиксите в Хиджаке, если еще не убежали.
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
57
Ещё осталась проблемка! При включении на рабочем столе выскакивает окно c надписью fAIL и с одной кнопкой OK!
C:\Program Files\PROWiSe\PROWiSe.exe - эта замена стандартного диспетчера в сборке samlab
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ - сделал
- Выполните скрипт
Код:
begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
После перезагрузки проинформируйте о состоянии ПК.
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 20 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\braviax.exe - Hoax.Win32.Bravia.ir (DrWEB: Trojan.Packed.612) c:\\windows\\system32\\buritos.exe - Hoax.Win32.Bravia.ir (DrWEB: Trojan.Packed.612) c:\\windows\\system32\\cpl32ver.exe - Trojan.Win32.Agent.adcr (DrWEB: BackDoor.Bulknet.237) c:\\windows\\system32\\jsappcmp.dll - Worm.Win32.AutoRun.ejg (DrWEB: Win32.HLLW.Autoruner.2299) c:\\windows\\system32\\lphcp21j0elb7.exe - Trojan-Downloader.Win32.FraudLoad.cum (DrWEB: Trojan.Packed.619) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bhl (DrWEB: BackDoor.Bulknet.23