Вирус

**ImmortalVampire** · 26.06.2008, 22:26

Начала тормозить система, вылетать с синим экраном, рабочий стол стал синим, с надписью "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer". Нодом проверил все, ничего не нашел. Установил Касперский, нашел трояны lanmanwrk.exe и kerneldrv.exe. Удалилял два раза, появляются снова. Правда после удаления перестала тормозить система и т.п., но в процессах они всеравно появляются. Помогите пожалуйста и подскажите как сделать нормальный рабочий стол. Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Kuzz** · 27.06.2008, 00:16

Отключите восстановление системы.

1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip

2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winch05.sys
и сделайте им Force Delete.

3. Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll

4. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('D:\WINDOWS\system32\lanmandrv.sys','');
 DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
 QuarantineFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll','');
 QuarantineFile('D:\Program Files\BitAccelerator\BitAccelerator.dll','');
 DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
 DelBHO('{1236D836-E9BA-4175-894F-2072A14D5A26}');
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('LMIinit.dll','');
 QuarantineFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr','');
 QuarantineFile('D:\WINDOWS\services.exe','');
 QuarantineFile('D:\WINDOWS\msvupdater.exe','');
 DeleteService('Winsx15');
 DeleteService('Winin83');
 DeleteService('Winin05');
 DeleteService('Winfk37');
 DeleteService('Winej27');
 DeleteService('Windi26');
 DeleteService('Winaf50');
 QuarantineFile('D:\WINDOWS\system32\Drivers\Tetri5.sys','');
 DeleteService('Tetri5');
 DeleteService('Puy51');
 QuarantineFile('D:\WINDOWS\system32\Drivers\iqvw32.sys','');
 DeleteService('Google Online Services');
 StopService('Google Online Services');
 QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys','');
 QuarantineFile('D:\WINDOWS\system32\DRIVERS\litsgt.sys','');
 QuarantineFile('D:\WINDOWS\system32\DRIVERS\lmimirr.sys','');
 QuarantineFile('D:\Program Files\LogMeIn\x86\RaInfo.sys','');
 QuarantineFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys','');
 QuarantineFile('D:\WINDOWS\system32\Drivers\Winch05.sys','');
 QuarantineFile('D:\WINDOWS\system32\TUKERNEL.EXE','');
 QuarantineFile('D:\WINDOWS\System32\Dll.dll','');
 QuarantineFile('d:\windows\services.exe','');
 DeleteFile('d:\windows\system32\kerneldrv.exe');
 DeleteFile('d:\windows\system32\lanmanwrk.exe');
 DeleteFile('d:\windows\services.exe');
 DeleteFile('D:\WINDOWS\System32\Dll.dll');
 DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('D:\Program Files\BitAccelerator\BitAccelerator.dll');
 DeleteFile('D:\Program Files\WebMoney Advisor\autosearch_plugin.dll');
 DeleteFile('D:\Program Files\WebMoney Advisor\tbhelper.dll');
 DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
 DeleteFile('D:\Program Files\WebMoney Advisor\WMPlugin.dll');
 DeleteFile('D:\WINDOWS\System32\lanmandrv.sys');
 DeleteFile('D:\WINDOWS\system32\Drivers\Winch05.sys');
 DeleteFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys');
 DeleteFile('D:\Downloads\kis.v8.0.0.357\ie_updates3r.exe');
 DeleteFile('D:\WINDOWS\System32\Drivers\Puy51.sys');
 DeleteFile('D:\WINDOWS\system32\Drivers\Tetri5.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\Winaf50.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\Windi26.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\Winej27.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\Winfk37.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\Winin05.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\Winin83.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\Winsx15.sys');
 DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
 DeleteFile('D:\WINDOWS\System32\lanmanwrk.exe');
 DeleteFile('D:\WINDOWS\msvupdater.exe');
 DeleteFile('D:\WINDOWS\services.exe');
 DeleteFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr');
 DeleteFile('WinCtrl32.dll');
 DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP383\A0477645.sys');
 DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0477912.sys');
 DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0478774.sys');
 DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0479751.sys');
 DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0480749.sys');
 DeleteFile('D:\WINDOWS\system32\lanmandrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25402
________________
После всего этого сделайте логи снова.

**ImmortalVampire** · 27.06.2008, 01:04

Не открывается IceSword, выдает ошибку "Initialize failed, error code:1." Получается открыть только IceHelper, но там что-то со шрифтами, везде знаки вопроса. А когда открываю файлы с расширением .chm тоже что-то со шрифтами, какие-то китайские иероглифы.

**Kuzz** · 27.06.2008, 08:12

Тогда выполняйте все остальное.

**ImmortalVampire** · 27.06.2008, 14:10

Все осталось по прежнему.

Карантин загрузил, логи прилагаю.

**Kuzz** · 27.06.2008, 14:22

Попробуйте вместо IceSword применить Gmer
Все остальное - как в http://virusinfo.info/showpost.php?p=247243&postcount=2

**ImmortalVampire** · 27.06.2008, 15:30

Ну вроде бы все, в процессах ничего нет, но на рабочем столе осталось "Warning! Spyware detected on your computer!". Логи приложил.

**Kuzz** · 27.06.2008, 15:43

Остался WebMoney Advisor - это адварь.
Если нет возможности деинсталлировать его, то мы можем написать скрипт.

А пока выполните:

Код:

begin
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 RebootWindows(true);
end.

**ImmortalVampire** · 27.06.2008, 16:01

Сообщение от Kuzz

Остался WebMoney Advisor - это адварь.
Если нет возможности деинсталлировать его, то мы можем написать скрипт.
end.[/code]

Напишите пожалуйста, в установке и удалении программ жму "удалить" возле него, никак не реагирует. С рабочим столом все нормально.

**Kuzz** · 27.06.2008, 16:17

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
 DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
end.

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)

Это знаете что такое?
O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab

**ImmortalVampire** · 27.06.2008, 16:53

Все сделал. Большое спасибо за все.

Сообщение от Kuzz

Это знаете что такое?
O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab

Не знаю.

**Kuzz** · 27.06.2008, 17:07

На ВТ на этот файл никто не ругнулся. Будем считать чистым.

Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:

Сообщение от anton_dr

И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?

Вы можете его высказать в теме Скажи, что ты думаешь о Virusinfo

**CyberHelper** · 22.02.2009, 06:12

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 16
В ходе лечения обнаружены вредоносные программы:
1. d:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: Trojan.BitAcc.
2. d:\\windows\\msvupdater.exe - Trojan-Downloader.Win32.Cntr.by (DrWEB: Trojan.Packed.555)
3. d:\\windows\\services.exe - Trojan.Win32.Agent.ryg (DrWEB: Trojan.Packed.573)
4. d:\\windows\\system32\\lanmandrv.sys - Trojan.Win32.Agent.kcr (DrWEB: Trojan.NtRootKit.1245)
5. d:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aij (DrWEB: Trojan.DownLoader.63553)

Вирус (заявка № 25402)

Опции темы

Вирус

Итог лечения

Ваши права в разделе