Warning! Spyware detected on your computer!

[VladimirSS 3]

вот такую гадину (смотри скриншот) сегодня гонял.

на рабочем столе картинка с сообщением: Warning! Spyware detected on your computer!...

Палится только

AhnLab-V3 2008.6.13.1 2008.06.13 Win-AppCare/Xema.716800

eSafe 7.0.15.0 2008.06.12 suspicious Trojan/Worm

Fortinet 3.14.0.0 2008.06.15 Joke/Bluescreen

McAfee 5317 2008.06.13 potentially unwanted program Joke-Bluescreen

GData 2.0.7306.1023 2008.06.15 Trojan.Win32.Pakes.ddq

 

Рабочий стол - свойства - отсутствуют вкладки: Рабочий стол и Заставка

восстанавливаем - gpedit.msc - конфигурация пользователя - административные шаблоны - панель управления - экран - скрыть вкладку рабочего стола и скрыть вкладку выбора заставки (в свойствах выбираем - отключен)

 

далее рабочий стол - свойства: Экран - рабочий стол - фоновый рисунок ищем картинку (смотри скриншот) и вычисляем имя файла. в данном случае - phc3ocj0ej4c.bmp

далее поиск по имени файла phc3ocj0ej4c - находим *. scr и *.exe (в system32)

удаляем с помощью AVZ или другим способом и чистим реестр по phc3ocj0ej4c

[KiRiKos 0]

Опять не упущу возможность привлечь внимание к моему любимому Shadow User'у

С ним достаточно было бы просто перегрузить машину, и никого не гонять...

[ParaPhun 0]

VladimirSS, респект

 

KiRiKos, спасибо

[esirotin 0]

все помогло, только файл назывался lphc9ghj0ep6a.exe? удалить удалось только avz

[VladimirSS 3]

все помогло, только файл назывался lphc9ghj0ep6a.exe? удалить удалось только avz

ну это понятно имя файлов случайное.

зы теперь эту штуку палит и AVG FREE

[rchuev 0]

вот такую гадину (смотри скриншот) сегодня гонял.

на рабочем столе картинка с сообщением: Warning! Spyware detected on your computer!...

Палится только

AhnLab-V3 2008.6.13.1 2008.06.13 Win-AppCare/Xema.716800

eSafe 7.0.15.0 2008.06.12 suspicious Trojan/Worm

Fortinet 3.14.0.0 2008.06.15 Joke/Bluescreen

McAfee 5317 2008.06.13 potentially unwanted program Joke-Bluescreen

GData 2.0.7306.1023 2008.06.15 Trojan.Win32.Pakes.ddq

 

Рабочий стол - свойства - отсутствуют вкладки: Рабочий стол и Заставка

восстанавливаем - gpedit.msc - конфигурация пользователя - административные шаблоны - панель управления - экран - скрыть вкладку рабочего стола и скрыть вкладку выбора заставки (в свойствах выбираем - отключен)

 

далее рабочий стол - свойства: Экран - рабочий стол - фоновый рисунок ищем картинку (смотри скриншот) и вычисляем имя файла. в данном случае - phc3ocj0ej4c.bmp

далее поиск по имени файла phc3ocj0ej4c - находим *. scr и *.exe (в system32)

удаляем с помощью AVZ или другим способом и чистим реестр по phc3ocj0ej4c

 

Спасибо

[emblem35 0]

Спасибо

 

 

У меня эту штуку и касперский 6 спалил и Экзешник снес нахер

 

файл назывался

phc7nmj0et3

[_MelonY_ 0]

Народ прошу помогите, у меня чтото вроде этого только вот что получилось

 

 

поставил AVG просканировал он удалил всё что надо, и вё равно тоже самое

 

заблокировал браузеры Opera и Explorer открываються страницы только через Google Chrome, ещё диспетчер задач это пока всё что я заметил заблокированным

 

что делать можно ли это вылечить без переустановки винды...то что вверху написано чет я не разобрался, как и что делать, плиз напишите, винду лень переустанавливать заного так как буквально неделю назад её поставил

 

 

заранее спасибо

[Мячин Д.А. 1]

Выполните.

[gale 0]

День добрый1

Вчера столкнуналась с такой же проблемой.

На панеле задач появляется :

И никак не убирается. Сбились настройки Internet Explorer. Все виснет.

Проверила комп Доктором Веб. Что-то нашел. Вроде вылечил.

Запустила AVG, два часа сканировал, а потом все зависло... Какие-то три файла сохранились в папке LOG, но они не прикрепляются. Прикрепляю, что смогла:

hijackthis.txt

Подскажите, что делать. Заранее прошу извинения за бестолковость.

[Мячин Д.А. 1]

Логи нужно было заархивировать в zip, rar или любой другой. В zip можно прямо и Windows - Правая кнопка мыши на файле - Отправить - Сжатая папка.

Пофиксите:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [services] C:\WINDOWS\services.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)

Вообще, Вы заражены. Рекомендую скачать утилиту: http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/ В ней поднять ползунок на самый высокий уровень и запустить полную проверку. По итогам неплохо бы создать с помощью нее отчет (как это сделать) и прикрепить отчет к следующему сообщению. Его архивировать не нужно, он уже заархивирован будет. Так же прикрепите отчет этой утилиты (его заархивируйте) и лог хиджака (это тот, который Вы уже предоставили).

[WIGF 7]

День добрый1

Вчера столкнуналась с такой же проблемой.

На панеле задач появляется :

И никак не убирается. Сбились настройки Internet Explorer. Все виснет.

Проверила комп Доктором Веб. Что-то нашел. Вроде вылечил.

Запустила AVG, два часа сканировал, а потом все зависло... Какие-то три файла сохранились в папке LOG, но они не прикрепляются. Прикрепляю, что смогла:

hijackthis.txt

Подскажите, что делать. Заранее прошу извинения за бестолковость.

gale, многовато у вас процессов висит. Ещё есть лишние вещи (braviax.exe и другое).

И запускать надо не AVG, а AVZ4 (то, что у вас есть что-то похожее на ситуацию, описанную в данном топике, не означает, что решение будет аналогичным).

Постарайтесь его скачать и запустить.

Лучше всё заново сделайте по инструкции (строго по ней, там ничего лишнего нет !!!) - Я заразился вирусом, что делать

В итоге от вас будут нужны логи AVZ и новые логи HiJackThis, чтобы охватить всё, а не отдельные куски, которые видны в логе хайджека.

 

--------------------------------------------------------------------------------------------------------------------

 

Мячин Д.А., строки "O4 - HKUS...Run: [CTFMON.EXE] " удалять незачем, это ведь просто часть от мелкомягкого офиса (в т.ч. языковая панель) - http://support.microsoft.com/kb/282599 .

Ctfmon.exe управляет технологиями альтернативного ввода данных. Он запускает языковую панель (в Systray) и продолжает работать в фоновом режиме даже после закрытия всех программ пакета Office XP. Кроме того, он запускается каждый раз при загрузке Windows и работает в фоновом режиме, независимо от того, запускались ли программы Office XP.

 

Программа Ctfmon.exe создана для работы в фоновом режиме на протяжении сеанса Windows (после того как установлен компонент «Альтернативный ввод данных»).

[Мячин Д.А. 1]

WIGF,

Языковая панель не прописывается в эти разделы реестра, на сколько мне известно. Она живет во всех HKCU ... Run Посмотрите у себя, т.к. Офиса от МС у меня нет.

[WIGF 7]

Мячин Д.А., у меня тоже его нет. Когда был, то записи были именно в HKUS. В данный момент стоит единственная запись в HKCU.

Получается, что записи в HKUS присутствуют, когда установлен Microsoft Office.

[Мячин Д.А. 1]

Я думаю, будет неплохо, если gale проверит файл на virus total.