Проблема: рабочий стол: на синем фоне "Warning! Spyware ..."

[Enot-28]

Здравствуйте, уважаемые обитатели форума!

 

Обращаюсь к вам в надежде, что вы сможете помочь моей беде. Судя по предыдущим записям в форуме, проблема моя не нова, но я, честно говоря, не совсем понимаю, как же действовать именно мне.

 

Итак, вкратце суть дела:

 

После того, как один нехороший человек, сидя за моим компьютером (он ещё за это своё получит ), пошарился по абсолютно бесполезным с практической точки зрения сайтам (не будем уточнять, какого свойства), на рабочем столе сменился фон: он стал синим, а по самой его серёдке красуется надпись: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer.". Попытки изменить фон рабочего стола ни к чему не ведут, так как в свойствах монитора бесследно исчезли аж целых две вкладки: заставка и чего-то там ещё (какжется, их должно быть 5, а их там всего 3.)

 

Во исполнение правил форума публикую в своём постинге четыре заархивированных файла. Очень надеюсь на вашу помощь и поддержку!

 

Заранее благодарен и буду рад выслушать ваши замечания и пожелания!.

 

С уважением,

Enot-28

hijackthis.rar

sysinfo.rar

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 14 июля, 2008 пользователем Enot-28

[Bob Rowsky]

Можешь своего нехорошего человека не трогать. Я не шарился по бесполезным сайтам и у меня такая-же ерунда

[Mona Sax]

- ставим КАВ/КИС, обновляем

- запускаем полную проверку с максимальными настройками

- после проверки должно быть найдено не менее 4х зловредов(один из них - Downloader)

- создаём нового пользователя, переносим данные(для восстановления адекватного вида раб.стола)

 

всё.

[ТроПа]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\blphccvdj0etje.scr','');
QuarantineFile('SocksA.exe','');
DeleteFile('C:\WINDOWS\system32\blphccvdj0etje.scr');
DeleteFile('SocksA.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему

 

 

2.Пофиксить в HijackThis следующие строчки

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

 

Используем AVZ и HijackThis

 

Повторите логи.

Изменено 14 июля, 2008 пользователем wise-wistful

[Mona Sax]

на адрес 54712<at>rambler.ru где <at> - это @. В письме укажите ссылку на тему

извини, а чей это адрес? у Лаборатории Касперского он только один - newvirus@kaspersky.com

[vidocq89]

извини, а чей это адрес? у Лаборатории Касперского он только один - newvirus@kaspersky.com

Мона, а что ты имеешь против того, что бы акоК сам затем в ЛК выслал карантин, и уже исходя из ответа от ЛК дал выполнять какой-либо скрипт по удалению подозрительных файлов, которые оказались зловредами или наоборот скажет, что все чисто, если из ЛК пришел такой ответ.

он просто берет на себя все возможные проблемы - если бы отсылкой карантина занимался юзер. если надо, то могу перечислить проблемы, которые могут возникнуть на данном этапе.

[ТроПа]

извини, а чей это адрес? у Лаборатории Касперского он только один

Это один из моих адресов. Да я не ЛК, но если туда кто-то попал кто ещё не детектится - то ЛК получит карантин. Это мне нужно для того, что бы быстрее реагировать при лечении. По blphccvdj0etje.scr - его никто и не будет детектить - так как это просто заставка которую выдают за перезагрузку, выводят сообщение на экран о том что компьютер якобы заражен и т.д. ЛК даст ответ что файл чист, ну и что в нём зловредного обычная заставка. Мне интересно попадёт он в карантин или нет.

Если есть возражения против запроса мной карнтина у пользователя - то не вопрос буду просить всех выслать карантин на адрес ЛК, а нам дать ответ по нему.

[vidocq89]

Вайз, а Олегу Вы посылаете то, что не детектит АВЗ?..

[akoK]

Вайз, а Олегу Вы посылаете то, что не детектит АВЗ?..

А смысл? В AVZ детект не главное. Главное Возможности отобразить руткит....возможность корректно удалить зловреда....

[Mona Sax]

Мона, а что ты имеешь против того, что бы акоК сам затем в ЛК выслал карантин, и уже исходя из ответа от ЛК дал выполнять какой-либо скрипт по удалению подозрительных файлов, которые оказались зловредами или наоборот скажет, что все чисто, если из ЛК пришел такой ответ.

надоело. смотрите прикрепленную тему, там есть адреса, куда слать. я не думаю, что это сложнее установки антивируса. у вирлаба есть вполне конкретный адрес. "левые" буду пресекать.

 

так как это просто заставка которую выдают за перезагрузку, выводят сообщение на экран о том что компьютер якобы заражен и т.д.

оно детектится. и даже шестеркой, и даже корпоративной, и даже с базовыми настройками. у меня порядка 25 компов с этим полегло - так зашевелились, меняем в организации текущий антивирус на АК.

[akoK]

Заставка?

 

Не помню....я себе из карантина эту заставку поставил.....прикольная....отпугует от компа любопытных...но детекта от семерки так и не дождался

 

надоело. смотрите прикрепленную тему, там есть адреса, куда слать. я не думаю, что это сложнее установки антивируса. у вирлаба есть вполне конкретный адрес. "левые" буду пресекать.

 

Ваше право...если что я на офф форуме или VI.

[ТроПа]

Да без проблем насчёт адреса, не будем ни у кого ничего просить (ну и не только просить я думаю). Единственная просьба - это внести в правила пункт касательного того, что никто не может просить никакие файлы, а все отсылаются на адрес вирлаба. Иначе непонятно получится.

 

оно детектится. и даже шестеркой, и даже корпоративной, и даже с базовыми настройками. у меня порядка 25 компов с этим полегло - так зашевелились, меняем в организации текущий антивирус на АК.

 

Интересно как это они легли из-за заставки.

У меня есть заставка по которой пришёл ответ Вирлаба - что файл чистый.

[Mona Sax]

Ваше право...если что я на офф форуме или VI.

мы не на оффе и не на ВИ. иногда люди начинают путаться где они находятся.

 

Интересно как это они легли из-за заставки.

У меня есть заставка по которой пришёл ответ Вирлаба - что файл чистый.

в данном случае это Downloader, который тянет за собой еще 4 зловреда.

[ТроПа]

C:\WINDOWS\system32\blphccvdj0etje.scr - это Downloader? Интересно.

[Mona Sax]

wise-wistful то что изначально эту красоту, описанную в первом посте, вызывает - да.