Junior Member
Вес репутации
58
Вирус
Начала тормозить система, вылетать с синим экраном, рабочий стол стал синим, с надписью "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer". Нодом проверил все, ничего не нашел. Установил Касперский, нашел трояны lanmanwrk.exe и kerneldrv.exe. Удалилял два раза, появляются снова. Правда после удаления перестала тормозить система и т.п., но в процессах они всеравно появляются. Помогите пожалуйста и подскажите как сделать нормальный рабочий стол. Заранее спасибо.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите восстановление системы.
1. Скачайте IceSword: http://mail.ustc.edu.cn/~jfpan/downl...Sword122en.zip
2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winch05.sys
и сделайте им Force Delete .
3. Пофиксите в HijackThis:
Код:
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
4. Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\lanmandrv.sys','');
DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
QuarantineFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll','');
QuarantineFile('D:\Program Files\BitAccelerator\BitAccelerator.dll','');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{1236D836-E9BA-4175-894F-2072A14D5A26}');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('LMIinit.dll','');
QuarantineFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr','');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\WINDOWS\msvupdater.exe','');
DeleteService('Winsx15');
DeleteService('Winin83');
DeleteService('Winin05');
DeleteService('Winfk37');
DeleteService('Winej27');
DeleteService('Windi26');
DeleteService('Winaf50');
QuarantineFile('D:\WINDOWS\system32\Drivers\Tetri5.sys','');
DeleteService('Tetri5');
DeleteService('Puy51');
QuarantineFile('D:\WINDOWS\system32\Drivers\iqvw32.sys','');
DeleteService('Google Online Services');
StopService('Google Online Services');
QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\litsgt.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\lmimirr.sys','');
QuarantineFile('D:\Program Files\LogMeIn\x86\RaInfo.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Winch05.sys','');
QuarantineFile('D:\WINDOWS\system32\TUKERNEL.EXE','');
QuarantineFile('D:\WINDOWS\System32\Dll.dll','');
QuarantineFile('d:\windows\services.exe','');
DeleteFile('d:\windows\system32\kerneldrv.exe');
DeleteFile('d:\windows\system32\lanmanwrk.exe');
DeleteFile('d:\windows\services.exe');
DeleteFile('D:\WINDOWS\System32\Dll.dll');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\autosearch_plugin.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\tbhelper.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\WMPlugin.dll');
DeleteFile('D:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('D:\WINDOWS\system32\Drivers\Winch05.sys');
DeleteFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys');
DeleteFile('D:\Downloads\kis.v8.0.0.357\ie_updates3r.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Puy51.sys');
DeleteFile('D:\WINDOWS\system32\Drivers\Tetri5.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winaf50.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Windi26.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winej27.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winfk37.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winin05.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winin83.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winsx15.sys');
DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('D:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('D:\WINDOWS\msvupdater.exe');
DeleteFile('D:\WINDOWS\services.exe');
DeleteFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr');
DeleteFile('WinCtrl32.dll');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP383\A0477645.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0477912.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0478774.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0479751.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0480749.sys');
DeleteFile('D:\WINDOWS\system32\lanmandrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25402
________________
После всего этого сделайте логи снова.
The worst foe lies within the self...
Junior Member
Вес репутации
58
Не открывается IceSword, выдает ошибку "Initialize failed, error code:1." Получается открыть только IceHelper, но там что-то со шрифтами, везде знаки вопроса. А когда открываю файлы с расширением .chm тоже что-то со шрифтами, какие-то китайские иероглифы.
Последний раз редактировалось ImmortalVampire; 27.06.2008 в 01:17 .
Тогда выполняйте все остальное.
The worst foe lies within the self...
Junior Member
Вес репутации
58
Все осталось по прежнему. Карантин загрузил, логи прилагаю.
Вложения
Попробуйте вместо IceSword применить Gmer
Все остальное - как в http://virusinfo.info/showpost.php?p=247243&postcount=2
The worst foe lies within the self...
Junior Member
Вес репутации
58
Ну вроде бы все, в процессах ничего нет, но на рабочем столе осталось "Warning! Spyware detected on your computer!". Логи приложил.
Вложения
Остался WebMoney Advisor - это адварь.
Если нет возможности деинсталлировать его, то мы можем написать скрипт.
А пока выполните:
Код:
begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
The worst foe lies within the self...
Junior Member
Вес репутации
58
Сообщение от
Kuzz
Остался WebMoney Advisor - это адварь.
Если нет возможности деинсталлировать его, то мы можем написать скрипт.
end.[/code]
Напишите пожалуйста, в установке и удалении программ жму "удалить" возле него, никак не реагирует. С рабочим столом все нормально.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
end.
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
Это знаете что такое?
O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab
The worst foe lies within the self...
Junior Member
Вес репутации
58
Все сделал. Большое спасибо за все.
Сообщение от
Kuzz
Это знаете что такое?
O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab
Не знаю.
На ВТ на этот файл никто не ругнулся. Будем считать чистым.
Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:
Сообщение от
anton_dr
И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?
Вы можете его высказать в теме Скажи, что ты думаешь о Virusinfo
The worst foe lies within the self...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 16 В ходе лечения обнаружены вредоносные программы:
d:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:AdTool.Win32.BitAccelerator.m (DrWEB: Trojan.BitAcc. d:\\windows\\msvupdater.exe - Trojan-Downloader.Win32.Cntr.by (DrWEB: Trojan.Packed.555) d:\\windows\\services.exe - Trojan.Win32.Agent.ryg (DrWEB: Trojan.Packed.573) d:\\windows\\system32\\lanmandrv.sys - Trojan.Win32.Agent.kcr (DrWEB: Trojan.NtRootKit.1245) d:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.aij (DrWEB: Trojan.DownLoader.63553)