Warning ! Spyware detected on your computer.

[Ilya G]

Здравствуйте,

У меня проблема, которая уже не раз озвучивалась здесь..

Все те же симптомы:

- Антивирус (NOD32) и antispyware Ad-aware (Lavasoft) не могут вычистить компьютер от троянов/вируса.
- на десктопе висит грозное сообщение о том что компьютер заражен и надобно установить антивирусное п/о.
- невозможно поменять wallpaper
- если система была idle недолго, то появляется синий экран с сообщениями ошибок page_fault_in, sysinternals_great_site, unexpected_kernel_mode_trap, kmode_exception_not_handled, bogus_driver, maximum_wait_objects_exceeded и соответствующие им файлы.

Сделал все стэпы о которых говорилось в правилах, надеюсь правильно.

Пожалуйста помогите.

[kps]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('cscdll.dll','');
 QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winub74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winek74.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winek17.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winag63.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dwshd.sys','');
 QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\lphclppj0epd9.exe','');
 QuarantineFile('C:\WINDOWS\system32\blphclppj0epd9.scr','');
 QuarantineFile('c:\windows\system32\winlogon.exe','');
 QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
 QuarantineFile('c:\windows\explorer.exe','');
 QuarantineFile('c:\windows\system32\ctfmon.exe','');
 DeleteFile('C:\WINDOWS\system32\blphclppj0epd9.scr');
 DeleteFile('C:\WINDOWS\system32\lphclppj0epd9.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winag63.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek17.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winek74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winub74.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winvc17.sys');
 DeleteFile('C:\WINDOWS\system32\braviax.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\GoogleToolbarInstaller_ru.exe');
 DelWinlogonNotifyByKeyName('WinCtrl32');
 DeleteService('Winvc17');
 DeleteService('Winub74');
 DeleteService('Winek74');
 DeleteService('Winek17');
 DeleteService('Winag63');
 DeleteService('wuauservFastUserSwitchingCompatibility');
 DeleteService('wscsvcBrowserHTTPFilter');
 DeleteService('WmdmPmSNHTTPFilterRSVP');
 DeleteService('upnphostWudfSvc');
 DeleteService('TrkWksCiSvc');
 DeleteService('SwPrvPolicyAgentxmlprov');
 DeleteService('SwPrvPolicyAgent');
 DeleteService('stisvcmnmsrvc');
 DeleteService('SSDPSRVSamSs');
 DeleteService('srserviceSamSs');
 DeleteService('SENSSpooler');
 DeleteService('seclogonScheduleDhcp');
 DeleteService('ScheduleDhcpWmiApSrv');
 DeleteService('ScheduleDhcp');
 DeleteService('SCardSvrSCardSvrwinmgmt');
 DeleteService('SCardSvrSCardSvr');
 DeleteService('SamSswuauservFastUserSwitchingCompatibility');
 DeleteService('SamSsRpcSsMSDTCwscsvc');
 DeleteService('SamSsRpcSs');
 DeleteService('RpcSsNtmsSvcwscsvc');
 DeleteService('RpcSsNtmsSvc');
 DeleteService('RasManSchedule');
 DeleteService('ProtectedStorageSENS');
 DeleteService('PolicyAgentShellHWDetection');
 DeleteService('PlugPlayMSIServerwinmgmt');
 DeleteService('PlugPlayMSIServer');
 DeleteService('NlaHTTPFilter');
 DeleteService('Nladmadmin');
 DeleteService('NetlogonSwPrvMSIServer');
 DeleteService('NetlogonSwPrv');
 DeleteService('NetDDESamSs');
 DeleteService('NetDDElanmanserver');
 DeleteService('MSIServerRemoteRegistryWmdmPmSN');
 DeleteService('MSIServerRemoteRegistry');
 DeleteService('MSIServerNetlogonSwPrvMSIServer');
 DeleteService('MSDTCwscsvc');
 DeleteService('MSDTCShellHWDetection');
 DeleteService('mnmsrvcSysmonLog');
 DeleteService('lanmanserverWZCSVC');
 DeleteService('lanmanserverSENS');
 DeleteService('ImapiServiceSwPrvPolicyAgentxmlprov');
 DeleteService('HTTPFilterRSVP');
 DeleteService('helpsvcNetlogon');
 DeleteService('gusvcSwPrvPolicyAgent');
 DeleteService('EventSystemRSVP');
 DeleteService('EventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
 DeleteService('EventSystemFastUserSwitchingCompatibility');
 DeleteService('EventlogEventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
 DeleteService('DnscacheSamSswuauservFastUserSwitchingCompatibility');
 DeleteService('DcomLaunchWebClient');
 DeleteService('DcomLaunchRpcSsEventlog');
 DeleteService('DcomLaunchRpcSs');
 DeleteService('COMSysAppImapiService');
 DeleteService('BITSDhcp');
 DeleteService('BrowserHTTPFilter');
 DeleteService('AudioSrvDcomLaunchRpcSsdmadminBITSDcomLaunch');
 DeleteService('AudioSrvDcomLaunchRpcSsdmadminBITS');
 DeleteService('AudioSrvDcomLaunchRpcSsdmadmin');
 DeleteService('AudioSrvDcomLaunchRpcSs');
 DeleteService('ALGWudfSvc');
 DeleteService('ALGCOMSysApp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин по правилам (загружать здесь: http://virusinfo.info/upload_virus.php?tid=31359 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

[Ilya G]

Извините, нет ответа - может что то неправильно с моими логами ?

Добавлено через 22 минуты

спасибо - буду продолжать.

[drongo]

только не забудьте nod и adaware отключить перед исполнением скрипта
очень много гадости, на всякий случай надо бы пройтись в сейфмоде кюритом, авптул.

[Ilya G]

Карантин закачал, логи прикладываю.

[Rene-gad]

Ad-Aware удалите. Если Вы еще сами не поняли, то скажу Вам по секрету: Пользы от него нет.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('Winpv52');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv52.sys','');
 QuarantineFile('C:\autorun.inf','');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpv52.sys');
 DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ALGCOMSysApp');
BC_DeleteSvc('ALGWudfSvc');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSs');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSsdmadmin');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSsdmadminBITS');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSsdmadminBITSDcomLaunch');
BC_DeleteSvc('BITSDhcp');
BC_DeleteSvc('BrowserHTTPFilter');
BC_DeleteSvc('ClipSrv');
BC_DeleteSvc('COMSysAppImapiService');
BC_DeleteSvc('DcomLaunchRpcSs');
BC_DeleteSvc('DcomLaunchRpcSsEventlog');
BC_DeleteSvc('DcomLaunchWebClient');
BC_DeleteSvc('DnscacheRpcLocator');
BC_DeleteSvc('DnscacheSamSswuauservFastUserSwitchingCompatibility');
BC_DeleteSvc('ERSvcTlntSvr');
BC_DeleteSvc('EventlogEventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
BC_DeleteSvc('EventSystemFastUserSwitchingCompatibility');
BC_DeleteSvc('EventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
BC_DeleteSvc('EventSystemRSVP');
BC_DeleteSvc('gusvcSwPrvPolicyAgent');
BC_DeleteSvc('helpsvcNetlogon');
BC_DeleteSvc('HTTPFilterRSVP');
BC_DeleteSvc('ImapiServiceSwPrvPolicyAgentxmlprov');
BC_DeleteSvc('lanmanserverSENS');
BC_DeleteSvc('lanmanserverWZCSVC');
BC_DeleteSvc('mnmsrvcSysmonLog');
BC_DeleteSvc('MSDTC');
BC_DeleteSvc('MSDTCShellHWDetection');
BC_DeleteSvc('MSDTCwscsvc');
BC_DeleteSvc('MSIServerNetlogonSwPrvMSIServer');
BC_DeleteSvc('MSIServerRemoteRegistry');
BC_DeleteSvc('MSIServerRemoteRegistryWmdmPmSN');
BC_DeleteSvc('NetDDElanmanserver');
BC_DeleteSvc('NetDDESamSs');
BC_DeleteSvc('NetlogonSwPrv');
BC_DeleteSvc('NetlogonSwPrvMSIServer');
BC_DeleteSvc('Nladmadmin');
BC_DeleteSvc('NlaHTTPFilter');
BC_DeleteSvc('PlugPlayMSIServer');
BC_DeleteSvc('PlugPlayMSIServerwinmgmt');
BC_DeleteSvc('PolicyAgentShellHWDetection');
BC_DeleteSvc('ProtectedStorageSENS');
BC_DeleteSvc('RasManSchedule');
BC_DeleteSvc('RpcSsNtmsSvc');
BC_DeleteSvc('RpcSsNtmsSvcwscsvc');
BC_DeleteSvc('SamSsRpcSs');
BC_DeleteSvc('SamSsRpcSsMSDTCwscsvc');
BC_DeleteSvc('SamSswuauservFastUserSwitchingCompatibility');
BC_DeleteSvc('SCardSvrSCardSvr');
BC_DeleteSvc('SCardSvrSCardSvrwinmgmt');
BC_DeleteSvc('ScheduleDhcp');
BC_DeleteSvc('ScheduleDhcpWmiApSrv');
BC_DeleteSvc('seclogonScheduleDhcp');
BC_DeleteSvc('SENSSpooler');
BC_DeleteSvc('srserviceSamSs');
BC_DeleteSvc('SSDPSRVSamSs');
BC_DeleteSvc('stisvcmnmsrvc');
BC_DeleteSvc('SwPrvPolicyAgent');
BC_DeleteSvc('SwPrvPolicyAgentxmlprov');
BC_DeleteSvc('TrkWksCiSvc');
BC_DeleteSvc('upnphostWudfSvc');
BC_DeleteSvc('WmdmPmSNHTTPFilterRSVP');
BC_DeleteSvc('WmiApSrvstisvc');
BC_DeleteSvc('wscsvcBrowserHTTPFilter');
BC_DeleteSvc('wuauservFastUserSwitchingCompatibility');
BC_DeleteSvc('WZCSVCProtectedStorageSENS');
BC_DeleteSvc('WZCSVCProtectedStorageSENSupnphost');
BC_DeleteSvc('Winpv52');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи

Код:

virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log

- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.

[Ilya G]

Удалил Лавасофт, прошел шаги.
АВЗ выдал ошибку когда делал "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" .
Т.е. лог может быть неполный ... (?)

Логи приложил.

Спасибо.

когда закачивал virusinfo_syscure.zip то аплодер написал что этот файл уже закачан.

(Когда включил НОД - он сразу оповестил о троянах).

[V_Bond]

скачайте C:\WINDOWS\System32\Drivers\Winpv52.sys - force delete
выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('Winpv52');
 BC_DeleteSvc('RpcLocatorWZCSVCProtectedStorageSENS');
 BC_DeleteSvc('MSIServerEventSystemFastUserSwitchingCompatibility');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winpv52.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winpv52.sys');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 84
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\blphclppj0epd9.scr - Trojan.Win32.FraudPack.ijv (DrWEB: Trojan.Fakealert.1321)
  2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.boi (DrWEB: BackDoor.Bulknet.225)