Показано с 1 по 13 из 13.

Вирус (заявка № 25402)

  1. #1
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    16
    Вес репутации
    31

    Thumbs up Вирус

    Начала тормозить система, вылетать с синим экраном, рабочий стол стал синим, с надписью "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer". Нодом проверил все, ничего не нашел. Установил Касперский, нашел трояны lanmanwrk.exe и kerneldrv.exe. Удалилял два раза, появляются снова. Правда после удаления перестала тормозить система и т.п., но в процессах они всеравно появляются. Помогите пожалуйста и подскажите как сделать нормальный рабочий стол. Заранее спасибо.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Отключите восстановление системы.

    1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

    2. Запустите, слева внизу нажмите File, затем найдите файлы:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\Drivers\Winch05.sys
    и сделайте им Force Delete.

    3. Пофиксите в HijackThis:
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
    4. Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINDOWS\system32\lanmandrv.sys','');
     DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
     QuarantineFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll','');
     QuarantineFile('D:\Program Files\BitAccelerator\BitAccelerator.dll','');
     DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
     DelBHO('{1236D836-E9BA-4175-894F-2072A14D5A26}');
     QuarantineFile('WinCtrl32.dll','');
     QuarantineFile('LMIinit.dll','');
     QuarantineFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr','');
     QuarantineFile('D:\WINDOWS\services.exe','');
     QuarantineFile('D:\WINDOWS\msvupdater.exe','');
     DeleteService('Winsx15');
     DeleteService('Winin83');
     DeleteService('Winin05');
     DeleteService('Winfk37');
     DeleteService('Winej27');
     DeleteService('Windi26');
     DeleteService('Winaf50');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Tetri5.sys','');
     DeleteService('Tetri5');
     DeleteService('Puy51');
     QuarantineFile('D:\WINDOWS\system32\Drivers\iqvw32.sys','');
     DeleteService('Google Online Services');
     StopService('Google Online Services');
     QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\litsgt.sys','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\lmimirr.sys','');
     QuarantineFile('D:\Program Files\LogMeIn\x86\RaInfo.sys','');
     QuarantineFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys','');
     QuarantineFile('D:\WINDOWS\system32\Drivers\Winch05.sys','');
     QuarantineFile('D:\WINDOWS\system32\TUKERNEL.EXE','');
     QuarantineFile('D:\WINDOWS\System32\Dll.dll','');
     QuarantineFile('d:\windows\services.exe','');
     DeleteFile('d:\windows\system32\kerneldrv.exe');
     DeleteFile('d:\windows\system32\lanmanwrk.exe');
     DeleteFile('d:\windows\services.exe');
     DeleteFile('D:\WINDOWS\System32\Dll.dll');
     DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('D:\Program Files\BitAccelerator\BitAccelerator.dll');
     DeleteFile('D:\Program Files\WebMoney Advisor\autosearch_plugin.dll');
     DeleteFile('D:\Program Files\WebMoney Advisor\tbhelper.dll');
     DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
     DeleteFile('D:\Program Files\WebMoney Advisor\WMPlugin.dll');
     DeleteFile('D:\WINDOWS\System32\lanmandrv.sys');
     DeleteFile('D:\WINDOWS\system32\Drivers\Winch05.sys');
     DeleteFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys');
     DeleteFile('D:\Downloads\kis.v8.0.0.357\ie_updates3r.exe');
     DeleteFile('D:\WINDOWS\System32\Drivers\Puy51.sys');
     DeleteFile('D:\WINDOWS\system32\Drivers\Tetri5.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winaf50.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Windi26.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winej27.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winfk37.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winin05.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winin83.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\Winsx15.sys');
     DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
     DeleteFile('D:\WINDOWS\System32\lanmanwrk.exe');
     DeleteFile('D:\WINDOWS\msvupdater.exe');
     DeleteFile('D:\WINDOWS\services.exe');
     DeleteFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP383\A0477645.sys');
     DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0477912.sys');
     DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0478774.sys');
     DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0479751.sys');
     DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0480749.sys');
     DeleteFile('D:\WINDOWS\system32\lanmandrv.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25402
    ________________
    После всего этого сделайте логи снова.
    The worst foe lies within the self...

  4. #3
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    16
    Вес репутации
    31
    Не открывается IceSword, выдает ошибку "Initialize failed, error code:1." Получается открыть только IceHelper, но там что-то со шрифтами, везде знаки вопроса. А когда открываю файлы с расширением .chm тоже что-то со шрифтами, какие-то китайские иероглифы.
    Последний раз редактировалось ImmortalVampire; 27.06.2008 в 01:17.

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Тогда выполняйте все остальное.
    The worst foe lies within the self...

  6. #5
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    16
    Вес репутации
    31
    Все осталось по прежнему. Карантин загрузил, логи прилагаю.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Попробуйте вместо IceSword применить Gmer
    Все остальное - как в http://virusinfo.info/showpost.php?p=247243&postcount=2
    The worst foe lies within the self...

  8. #7
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    16
    Вес репутации
    31
    Ну вроде бы все, в процессах ничего нет, но на рабочем столе осталось "Warning! Spyware detected on your computer!". Логи приложил.
    Вложения Вложения

  9. #8
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    Остался WebMoney Advisor - это адварь.
    Если нет возможности деинсталлировать его, то мы можем написать скрипт.

    А пока выполните:
    Код:
    begin
     ExecuteRepair(5);
     ExecuteRepair(6);
     ExecuteRepair(8);
     RebootWindows(true);
    end.
    The worst foe lies within the self...

  10. #9
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    16
    Вес репутации
    31
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Остался WebMoney Advisor - это адварь.
    Если нет возможности деинсталлировать его, то мы можем написать скрипт.
    end.[/code]
    Напишите пожалуйста, в установке и удалении программ жму "удалить" возле него, никак не реагирует. С рабочим столом все нормально.

  11. #10
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
     DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
    end.
    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
    O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
    O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
    O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
    O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
    O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
    Это знаете что такое?
    O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab
    The worst foe lies within the self...

  12. #11
    Junior Member Репутация
    Регистрация
    26.06.2008
    Сообщений
    16
    Вес репутации
    31
    Все сделал. Большое спасибо за все.
    Цитата Сообщение от Kuzz Посмотреть сообщение
    Это знаете что такое?
    O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab
    Не знаю.

  13. #12
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    11.12.2006
    Сообщений
    3,699
    Вес репутации
    1810
    На ВТ на этот файл никто не ругнулся. Будем считать чистым.

    Портал интересует Ваше мнение о помощи в разделе "Помогите"
    Особенно это:
    Цитата Сообщение от anton_dr Посмотреть сообщение
    И, пока Вы ещё здесь, нам важно ваше мнение.
    Всё ли Вам было понятно?
    Устраивает ли Вас форма, в которой проходило лечение?
    Нашли ли Вы полезные материалы у нас?
    Чего, по Вашему мнению, нам не хватает?
    Вы можете его высказать в теме Скажи, что ты думаешь о Virusinfo
    The worst foe lies within the self...

  14. #13
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,537
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 16
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: Trojan.BitAcc.
      2. d:\\windows\\msvupdater.exe - Trojan-Downloader.Win32.Cntr.by (DrWEB: Trojan.Packed.555)
      3. d:\\windows\\services.exe - Trojan.Win32.Agent.ryg (DrWEB: Trojan.Packed.573)
      4. d:\\windows\\system32\\lanmandrv.sys - Trojan.Win32.Agent.kcr (DrWEB: Trojan.NtRootKit.1245)
      5. d:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aij (DrWEB: Trojan.DownLoader.63553)


  • Уважаемый(ая) ImmortalVampire, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00505 seconds with 20 queries