Помогите удалить вирус spammer:win32/Cutwail.gen!b

[suvit]

На компьютер попал какой-то вирус. На компьютере стоит антивирус аваст, но он не может справиться: при загрузки windows он удаляет какой-то файл, а потом все поновой. Ср-во удаление вредоностного программного обеспечения microsoft обнаружила spammer:win32/Cutwail.gen!b.
Еще на рабочем столе вместо картинки показывается, диалоговое окно, которое говорит что "на компе вирус, и нажмите на кнопку, скачается антивирус" я так понимаю это вирус себя скачивает. Заставку на рабочем столе поменять не удается, так как нету закладки "рабочий стол" в сво-вах экрана

Высылаю логи

[Rene-gad]

Нарушения правил при сборе информации для раздела Помогите.


- Не выключено системное восстановление.
- Не выключен установленный антивирус.

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('xmlprovShellHWDetection');
 DeleteService('WZCSVCBrowser');
 DeleteService('TrkWkswscsvc');
 DeleteService('Themesupnphost');
 DeleteService('SwPrvLmHosts');
 DeleteService('RSVPImapiService');
 DeleteService('RichVideoSchedule');
 DeleteService('RemoteRegistrydmadmin');
 DeleteService('NVSvcRDSessMgr');
 DeleteService('mnmsrvcNtLmSsp');
 DeleteService('DnscacheTapiSrv');
 DeleteService('dmserverxmlprov');
 DeleteService('AudioSrvHidServ');
 DeleteService('Hqy08');
 DeleteService('Winsb20');
 DeleteService('Winrb65');
 DeleteService('Winpx10');
 DeleteService('Winow08');
 DeleteService('Winnw10');
 DeleteService('Winmu31');
 DeleteService('Winlt65');
 DeleteService('Winjq43');
 DeleteService('Winir20');
 DeleteService('Winfo31');
 DeleteService('Winfn64');
 DeleteService('Winfn21');
 DeleteService('Winck65');
 DeleteService('Winbk21');
 DeleteService('AppMgmtdmserverxmlprov');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winsb20.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrb65.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpx10.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winow08.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnw10.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winmu31.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winlt65.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winjq43.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winir20.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfo31.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfn64.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winfn21.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winck65.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbk21.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Hqy08.sys','');
 DeleteFile('C:\WINDOWS\System32\Drivers\Hqy08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbk21.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winck65.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfn21.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfn64.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winfo31.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winir20.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjq43.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winlt65.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winmu31.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnw10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winow08.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpx10.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winsb20.sys');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('xmlprovShellHWDetection');
 BC_DeleteSvc('WZCSVCBrowser');
 BC_DeleteSvc('TrkWkswscsvc');
 BC_DeleteSvc('Themesupnphost');
 BC_DeleteSvc('SwPrvLmHosts');
 BC_DeleteSvc('RSVPImapiService');
 BC_DeleteSvc('RichVideoSchedule');
 BC_DeleteSvc('RemoteRegistrydmadmin');
 BC_DeleteSvc('NVSvcRDSessMgr');
 BC_DeleteSvc('mnmsrvcNtLmSsp');
 BC_DeleteSvc('DnscacheTapiSrv');
 BC_DeleteSvc('dmserverxmlprov');
 BC_DeleteSvc('AudioSrvHidServ');
 BC_DeleteSvc('Hqy08');
 BC_DeleteSvc('Winsb20');
 BC_DeleteSvc('Winrb65');
 BC_DeleteSvc('Winpx10');
 BC_DeleteSvc('Winow08');
 BC_DeleteSvc('Winnw10');
 BC_DeleteSvc('Winmu31');
 BC_DeleteSvc('Winlt65');
 BC_DeleteSvc('Winjq43');
 BC_DeleteSvc('Winir20');
 BC_DeleteSvc('Winfo31');
 BC_DeleteSvc('Winfn64');
 BC_DeleteSvc('Winfn21');
 BC_DeleteSvc('Winck65');
 BC_DeleteSvc('Winbk21');
 BC_DeleteSvc('AppMgmtdmserverxmlprov');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[suvit]

Нарушения правил при сборе информации для раздела Помогите.


- Не выключено системное восстановление.
- Не выключен установленный антивирус.

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.

Извините, действительно не выключил восстановление. Антивирус можно только остановить, отключить его полностью не получилось. Я его(антивирус) полность удалил

Карантин выслал, нашелся файл system32/WinCtrl32.dll

Новые логи во вложении.
На рабочем столе все еще диалоговое окно, показывающая что комп заражен Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64. Заставку рабочего стола сменить не удается.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 BC_DeleteSvc('RemoteRegistrydmadminW32Time');
 DeleteFile('WinCtrl32.dll');
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.

повторите логи начиная с пункта 10 правил ...

[suvit]

Выполнил, рабочий стол востановлен. Спасибо!
логи во вложении

[V_Bond]

пофиксите...

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

больше ничего плохого ...

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 1
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\virusinfo\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)