Junior Member
Вес репутации
57
Warning ! Spyware detected on your computer.
Здравствуйте,
У меня проблема, которая уже не раз озвучивалась здесь..
Все те же симптомы:
- Антивирус (NOD32) и antispyware Ad-aware (Lavasoft) не могут вычистить компьютер от троянов/вируса.
- на десктопе висит грозное сообщение о том что компьютер заражен и надобно установить антивирусное п/о.
- невозможно поменять wallpaper
- если система была idle недолго, то появляется синий экран с сообщениями ошибок page_fault_in, sysinternals_great_site, unexpected_kernel_mode_trap, kmode_exception_not_handled, bogus_driver, maximum_wait_objects_exceeded и соответствующие им файлы.
Сделал все стэпы о которых говорилось в правилах, надеюсь правильно.
Пожалуйста помогите.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт в AVZ :
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('cscdll.dll','');
QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winvc17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winub74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winek17.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winag63.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dwshd.sys','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\lphclppj0epd9.exe','');
QuarantineFile('C:\WINDOWS\system32\blphclppj0epd9.scr','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
QuarantineFile('c:\program files\internet explorer\iexplore.exe','');
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('c:\windows\system32\ctfmon.exe','');
DeleteFile('C:\WINDOWS\system32\blphclppj0epd9.scr');
DeleteFile('C:\WINDOWS\system32\lphclppj0epd9.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dl_');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag63.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winek74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winub74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc17.sys');
DeleteFile('C:\WINDOWS\system32\braviax.exe');
DeleteFile('C:\Documents and Settings\Администратор\Local Settings\Temp\GoogleToolbarInstaller_ru.exe');
DelWinlogonNotifyByKeyName('WinCtrl32');
DeleteService('Winvc17');
DeleteService('Winub74');
DeleteService('Winek74');
DeleteService('Winek17');
DeleteService('Winag63');
DeleteService('wuauservFastUserSwitchingCompatibility');
DeleteService('wscsvcBrowserHTTPFilter');
DeleteService('WmdmPmSNHTTPFilterRSVP');
DeleteService('upnphostWudfSvc');
DeleteService('TrkWksCiSvc');
DeleteService('SwPrvPolicyAgentxmlprov');
DeleteService('SwPrvPolicyAgent');
DeleteService('stisvcmnmsrvc');
DeleteService('SSDPSRVSamSs');
DeleteService('srserviceSamSs');
DeleteService('SENSSpooler');
DeleteService('seclogonScheduleDhcp');
DeleteService('ScheduleDhcpWmiApSrv');
DeleteService('ScheduleDhcp');
DeleteService('SCardSvrSCardSvrwinmgmt');
DeleteService('SCardSvrSCardSvr');
DeleteService('SamSswuauservFastUserSwitchingCompatibility');
DeleteService('SamSsRpcSsMSDTCwscsvc');
DeleteService('SamSsRpcSs');
DeleteService('RpcSsNtmsSvcwscsvc');
DeleteService('RpcSsNtmsSvc');
DeleteService('RasManSchedule');
DeleteService('ProtectedStorageSENS');
DeleteService('PolicyAgentShellHWDetection');
DeleteService('PlugPlayMSIServerwinmgmt');
DeleteService('PlugPlayMSIServer');
DeleteService('NlaHTTPFilter');
DeleteService('Nladmadmin');
DeleteService('NetlogonSwPrvMSIServer');
DeleteService('NetlogonSwPrv');
DeleteService('NetDDESamSs');
DeleteService('NetDDElanmanserver');
DeleteService('MSIServerRemoteRegistryWmdmPmSN');
DeleteService('MSIServerRemoteRegistry');
DeleteService('MSIServerNetlogonSwPrvMSIServer');
DeleteService('MSDTCwscsvc');
DeleteService('MSDTCShellHWDetection');
DeleteService('mnmsrvcSysmonLog');
DeleteService('lanmanserverWZCSVC');
DeleteService('lanmanserverSENS');
DeleteService('ImapiServiceSwPrvPolicyAgentxmlprov');
DeleteService('HTTPFilterRSVP');
DeleteService('helpsvcNetlogon');
DeleteService('gusvcSwPrvPolicyAgent');
DeleteService('EventSystemRSVP');
DeleteService('EventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
DeleteService('EventSystemFastUserSwitchingCompatibility');
DeleteService('EventlogEventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
DeleteService('DnscacheSamSswuauservFastUserSwitchingCompatibility');
DeleteService('DcomLaunchWebClient');
DeleteService('DcomLaunchRpcSsEventlog');
DeleteService('DcomLaunchRpcSs');
DeleteService('COMSysAppImapiService');
DeleteService('BITSDhcp');
DeleteService('BrowserHTTPFilter');
DeleteService('AudioSrvDcomLaunchRpcSsdmadminBITSDcomLaunch');
DeleteService('AudioSrvDcomLaunchRpcSsdmadminBITS');
DeleteService('AudioSrvDcomLaunchRpcSsdmadmin');
DeleteService('AudioSrvDcomLaunchRpcSs');
DeleteService('ALGWudfSvc');
DeleteService('ALGCOMSysApp');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин по правилам (загружать здесь: http://virusinfo.info/upload_virus.php?tid=31359 ).
Очистите временные папки и кеш браузера.
Сделайте новые логи.
Junior Member
Вес репутации
57
Извините, нет ответа - может что то неправильно с моими логами ?
Добавлено через 22 минуты
спасибо - буду продолжать.
Последний раз редактировалось Ilya G; 03.10.2008 в 11:33 .
Причина: Добавлено
только не забудьте nod и adaware отключить перед исполнением скрипта
очень много гадости, на всякий случай надо бы пройтись в сейфмоде кюритом, авптул.
Junior Member
Вес репутации
57
Карантин закачал, логи прикладываю.
Вложения
Ad-Aware удалите. Если Вы еще сами не поняли, то скажу Вам по секрету: Пользы от него нет.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winpv52');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpv52.sys','');
QuarantineFile('C:\autorun.inf','');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv52.sys');
DeleteFile('C:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('ALGCOMSysApp');
BC_DeleteSvc('ALGWudfSvc');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSs');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSsdmadmin');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSsdmadminBITS');
BC_DeleteSvc('AudioSrvDcomLaunchRpcSsdmadminBITSDcomLaunch');
BC_DeleteSvc('BITSDhcp');
BC_DeleteSvc('BrowserHTTPFilter');
BC_DeleteSvc('ClipSrv');
BC_DeleteSvc('COMSysAppImapiService');
BC_DeleteSvc('DcomLaunchRpcSs');
BC_DeleteSvc('DcomLaunchRpcSsEventlog');
BC_DeleteSvc('DcomLaunchWebClient');
BC_DeleteSvc('DnscacheRpcLocator');
BC_DeleteSvc('DnscacheSamSswuauservFastUserSwitchingCompatibility');
BC_DeleteSvc('ERSvcTlntSvr');
BC_DeleteSvc('EventlogEventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
BC_DeleteSvc('EventSystemFastUserSwitchingCompatibility');
BC_DeleteSvc('EventSystemFastUserSwitchingCompatibilitySSDPSRVSamSs');
BC_DeleteSvc('EventSystemRSVP');
BC_DeleteSvc('gusvcSwPrvPolicyAgent');
BC_DeleteSvc('helpsvcNetlogon');
BC_DeleteSvc('HTTPFilterRSVP');
BC_DeleteSvc('ImapiServiceSwPrvPolicyAgentxmlprov');
BC_DeleteSvc('lanmanserverSENS');
BC_DeleteSvc('lanmanserverWZCSVC');
BC_DeleteSvc('mnmsrvcSysmonLog');
BC_DeleteSvc('MSDTC');
BC_DeleteSvc('MSDTCShellHWDetection');
BC_DeleteSvc('MSDTCwscsvc');
BC_DeleteSvc('MSIServerNetlogonSwPrvMSIServer');
BC_DeleteSvc('MSIServerRemoteRegistry');
BC_DeleteSvc('MSIServerRemoteRegistryWmdmPmSN');
BC_DeleteSvc('NetDDElanmanserver');
BC_DeleteSvc('NetDDESamSs');
BC_DeleteSvc('NetlogonSwPrv');
BC_DeleteSvc('NetlogonSwPrvMSIServer');
BC_DeleteSvc('Nladmadmin');
BC_DeleteSvc('NlaHTTPFilter');
BC_DeleteSvc('PlugPlayMSIServer');
BC_DeleteSvc('PlugPlayMSIServerwinmgmt');
BC_DeleteSvc('PolicyAgentShellHWDetection');
BC_DeleteSvc('ProtectedStorageSENS');
BC_DeleteSvc('RasManSchedule');
BC_DeleteSvc('RpcSsNtmsSvc');
BC_DeleteSvc('RpcSsNtmsSvcwscsvc');
BC_DeleteSvc('SamSsRpcSs');
BC_DeleteSvc('SamSsRpcSsMSDTCwscsvc');
BC_DeleteSvc('SamSswuauservFastUserSwitchingCompatibility');
BC_DeleteSvc('SCardSvrSCardSvr');
BC_DeleteSvc('SCardSvrSCardSvrwinmgmt');
BC_DeleteSvc('ScheduleDhcp');
BC_DeleteSvc('ScheduleDhcpWmiApSrv');
BC_DeleteSvc('seclogonScheduleDhcp');
BC_DeleteSvc('SENSSpooler');
BC_DeleteSvc('srserviceSamSs');
BC_DeleteSvc('SSDPSRVSamSs');
BC_DeleteSvc('stisvcmnmsrvc');
BC_DeleteSvc('SwPrvPolicyAgent');
BC_DeleteSvc('SwPrvPolicyAgentxmlprov');
BC_DeleteSvc('TrkWksCiSvc');
BC_DeleteSvc('upnphostWudfSvc');
BC_DeleteSvc('WmdmPmSNHTTPFilterRSVP');
BC_DeleteSvc('WmiApSrvstisvc');
BC_DeleteSvc('wscsvcBrowserHTTPFilter');
BC_DeleteSvc('wuauservFastUserSwitchingCompatibility');
BC_DeleteSvc('WZCSVCProtectedStorageSENS');
BC_DeleteSvc('WZCSVCProtectedStorageSENSupnphost');
BC_DeleteSvc('Winpv52');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Удалил Лавасофт, прошел шаги.
АВЗ выдал ошибку когда делал "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" .
Т.е. лог может быть неполный ... (?)
Логи приложил.
Спасибо.
когда закачивал virusinfo_syscure.zip то аплодер написал что этот файл уже закачан.
(Когда включил НОД - он сразу оповестил о троянах).
Вложения
скачайте C:\WINDOWS\System32\Drivers\Winpv52.sys - force delete
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('Winpv52');
BC_DeleteSvc('RpcLocatorWZCSVCProtectedStorageSENS');
BC_DeleteSvc('MSIServerEventSystemFastUserSwitchingCompatibility');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winpv52.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winpv52.sys');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 84 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\blphclppj0epd9.scr - Trojan.Win32.FraudPack.ijv (DrWEB: Trojan.Fakealert.1321) c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.boi (DrWEB: BackDoor.Bulknet.225)