Здраствуйте!
Проблема такаая же как и у других: "на рабочем столе появилось сообщение "Warning! Spyware detected on your computer Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64".
Ни Nod ни Kaspersky эту заразу не удаляет.
Помогите победить эту гадость. Заранее спасибо!
Последний раз редактировалось skeletonoff; 28.11.2008 в 14:30.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('WinCtrl32.dll',''); QuarantineFile('odyEvent.dll',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winxc14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winux14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wintx82.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winrv47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winqu36.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt60.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winps15.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winos71.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlp58.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlo14.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winim47.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winei60.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windg04.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe26.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winbe14.sys',''); QuarantineFile('C:\WINDOWS\system32\blphc11oj0e795.scr',''); QuarantineFile('C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\loader.exe',''); DeleteService('WZCSVCRSVP'); DeleteService('WudfSvcBthServ'); DeleteService('WMPNetworkSvc LM Service'); DeleteService('Winxc71'); DeleteService('Winxc14'); DeleteService('Winuy71'); DeleteService('Winuy36'); DeleteService('Winuy14'); DeleteService('Winux14'); DeleteService('Wintx82'); DeleteService('Winrv47'); DeleteService('Winqu36'); DeleteService('Winpt60'); DeleteService('Winps15'); DeleteService('Winos71'); DeleteService('Winlp58'); DeleteService('Winlo14'); DeleteService('Winim47'); DeleteService('Winei60'); DeleteService('Windg04'); DeleteService('Winbf82'); DeleteService('Winbe26'); DeleteService('Winbe14'); DeleteService('WebClientRasManSCardSvr'); DeleteService('WebClientRasMan'); DeleteService('SwPrvBthServ'); DeleteService('SSDPSRVStarWindServiceAE'); DeleteService('SQLAgent$PINNACLESYSLBTServkavsvc'); DeleteService('SQLAgent$PINNACLESYSLBTServ'); DeleteService('SQLAgent$PINNACLESYSDnscache'); DeleteService('Spoolerhelpsvc'); DeleteService('RDSessMgr LM Service'); DeleteService('PNRPSvcSpoolerhelpsvc'); DeleteService('NOD32krnRDSessMgr'); DeleteService('mnmsrvcSpooler'); DeleteService('LBTServCOMSysApp'); DeleteService('FastUserSwitchingCompatibilitySQLAgent$PINNACLESYSLBTServ'); DeleteService('CLCapSvcbtwdins'); DeleteService('CCALib8RpcSs'); DeleteService('BITSCCALib8'); DeleteService('AudioSrvNtmsSvc'); DeleteFile('WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxc71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxc14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuy71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuy36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuy14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winux14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wintx82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winrv47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winqu36.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpt60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winps15.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winos71.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlp58.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlo14.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winim47.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winei60.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windg04.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbf82.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbe26.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winbe14.sys'); DeleteFile('C:\WINDOWS\system32\blphc11oj0e795.scr'); DeleteFile('C:\DOCUME~1\ALEXAN~1\LOCALS~1\Temp\loader.exe'); BC_ImportAll; ExecuteSysClean; BC_DeleteSvc('WZCSVCRSVP'); BC_DeleteSvc('WudfSvcBthServ'); BC_DeleteSvc('WMPNetworkSvc LM Service'); BC_DeleteSvc('Winxc71'); BC_DeleteSvc('Winxc14'); BC_DeleteSvc('Winuy71'); BC_DeleteSvc('Winuy36'); BC_DeleteSvc('Winuy14'); BC_DeleteSvc('Winux14'); BC_DeleteSvc('Wintx82'); BC_DeleteSvc('Winrv47'); BC_DeleteSvc('Winqu36'); BC_DeleteSvc('Winpt60'); BC_DeleteSvc('Winps15'); BC_DeleteSvc('Winos71'); BC_DeleteSvc('Winlp58'); BC_DeleteSvc('Winlo14'); BC_DeleteSvc('Winim47'); BC_DeleteSvc('Winei60'); BC_DeleteSvc('Windg04'); BC_DeleteSvc('Winbf82'); BC_DeleteSvc('Winbe26'); BC_DeleteSvc('Winbe14'); BC_DeleteSvc('WebClientRasManSCardSvr'); BC_DeleteSvc('WebClientRasMan'); BC_DeleteSvc('SwPrvBthServ'); BC_DeleteSvc('SSDPSRVStarWindServiceAE'); BC_DeleteSvc('SQLAgent$PINNACLESYSLBTServkavsvc'); BC_DeleteSvc('SQLAgent$PINNACLESYSLBTServ'); BC_DeleteSvc('SQLAgent$PINNACLESYSDnscache'); BC_DeleteSvc('Spoolerhelpsvc'); BC_DeleteSvc('RDSessMgr LM Service'); BC_DeleteSvc('PNRPSvcSpoolerhelpsvc'); BC_DeleteSvc('NOD32krnRDSessMgr'); BC_DeleteSvc('mnmsrvcSpooler'); BC_DeleteSvc('LBTServCOMSysApp'); BC_DeleteSvc('FastUserSwitchingCompatibilitySQLAgent$PINNACLESYSLBTServ'); BC_DeleteSvc('CLCapSvcbtwdins'); BC_DeleteSvc('CCALib8RpcSs'); BC_DeleteSvc('BITSCCALib8'); BC_DeleteSvc('AudioSrvNtmsSvc'); executerepair(5); executerepair(6); executerepair(8); RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper',''); BC_Activate; RebootWindows(true); end.
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
- Включите Антвирус и ФайрволлКод:virusinfo_syscure.zip virusinfo_syscheck.zip hijackthis.log
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
Последний раз редактировалось Rene-gad; 23.09.2008 в 21:24.
Огромное спасибо!
Закачал карантин как указано в Приложение 2 п.4 правил, но не нашел как в АВЗ устанавливать пароль на архив, так что выслал без пароля. Прошу искренне извинить.
Логи вышлю завтра.
Высылаю повторные логи после лечения. Еще раз Огромное СПАСИБО!
Последний раз редактировалось skeletonoff; 28.11.2008 в 14:30.
выполните скрипт
пришлите карантин согласно приложения 2 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_DeleteSvc('Browser LM Service'); DeleteFile('odyEvent.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи
Спасибо!
Скрипт выполнил, карантин закачал, логи повторил.
Последний раз редактировалось skeletonoff; 28.11.2008 в 14:30.
-Пофиксите
Больше ничего подозрительногоКод:O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
Все сделал! Огомное СПАСИБО!!!Сообщение от Rene-gad
Уважаемый(ая) skeletonoff, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
