Показано с 1 по 11 из 11.

Adware.Virtumonde, PrivacyRemover.M64 (заявка № 28353)

  1. #1
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    19
    Вес репутации
    58

    Thumbs up Adware.Virtumonde, PrivacyRemover.M64

    На рабочем столе в качестве заставки появилось сообщение: Warning! Spyware detected on your computer!
    Dr.Web ничего не находит.
    Одна надежда на Вас.
    Последний раз редактировалось timur_v; 18.08.2008 в 22:25.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winaf16');
     DeleteService('Winci85');
     DeleteService('Winhp11');
     DeleteService('Winio27');
     DeleteService('Winkq41');
     DeleteService('Winqw40');
     DeleteService('Winrx16');
     DeleteService('Winrx51');
     DeleteService('Winwd17');
     DeleteService('Winwe06');
     DeleteService('WmiApSrvWebClient');
     DeleteService('WmiApSrvDhcp');
     DeleteService('UPSSchedule');
     DeleteService('TapiSrvDcomLaunch');
     DeleteService('SysmonLogTlntSvr');
     DeleteService('SysmonLogHidServ');
     DeleteService('EventSystemEventlog');
     DeleteService('DcomLaunchclr_optimization_v2.0.50727_32');
     DeleteService('CiSvclanmanworkstation');
     DeleteService('AtiSchedule');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaf16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winci85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhp11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winio27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqw40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwd17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwe06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxe41.sys');
     BC_DeleteFile('C:\WINDOWS\system32\blphcekqj0e531.scr');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    19
    Вес репутации
    58
    Прилагаю новые логи.
    Карантинный файл выслал.
    Внешне - получше, заставка убралась, но сеть пока чем-то грузится, и avz вроде как неспокоен.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    скачайте C:\WINDOWS\System32\Drivers\Winkq73.sys - force delete
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('Winxe41');
     BC_DeleteSvc('Winwe06');
     BC_DeleteSvc('Winwd17');
     BC_DeleteSvc('Winrx51');
     BC_DeleteSvc('Winrx16');
     BC_DeleteSvc('Winqw40');
     BC_DeleteSvc('Winkq41');
     BC_DeleteSvc('Winio27');
     BC_DeleteSvc('Winhp11');
     BC_DeleteSvc('Winaf16');
     BC_DeleteSvc('Winci85');
     BC_DeleteSvc('Winkq73');
     BC_DeleteSvc('WmiApSrvWebClient');
     BC_DeleteSvc('WmiApSrvDhcp');
     BC_DeleteSvc('UPSSchedule');
     BC_DeleteSvc('ThemesDhcp');
     BC_DeleteSvc('TapiSrvDcomLaunch');
     BC_DeleteSvc('SysmonLogTlntSvr');
     BC_DeleteSvc('SysmonLogHidServ');
     BC_DeleteSvc('SchedulePlugPlay');
     BC_DeleteSvc('EventSystemEventlog');
     BC_DeleteSvc('DcomLaunchclr_optimization_v2.0.50727_32');
     BC_DeleteSvc('CiSvclanmanworkstation');
     BC_DeleteSvc('AtiSchedule');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winkq73.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winkq73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaf16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winci85.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winhp11.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winio27.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkq41.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winqw40.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx16.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winrx51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwd17.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winwe06.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxe41.sys');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  6. #5
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    19
    Вес репутации
    58
    C:\WINDOWS\System32\Drivers\Winkq73.sys - сохранил как malware, сделал force delete, прислал в карантине.

    провел скрипт, карантинный файл также прислал.

    логи прикрепляю.
    Вложения Вложения

  7. #6
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    19
    Вес репутации
    58
    подскажите, сейчас на основании логов можно сделать вывод, что все в порядке?..

  8. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     BC_DeleteSvc('ShellHWDetectionBITS');
     BC_DeleteSvc('BITSsrservice');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\system32\blphcekqj0e531.scr');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    повторите логи ....

  9. #8
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    19
    Вес репутации
    58
    логи в приложении.
    Ваша резолюция? )
    Вложения Вложения

  10. #9
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ...
    Код:
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    больше ничего плохого ...

  11. #10
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    19
    Вес репутации
    58
    Все работает без проблем! )))
    Огромное человеческое Вам СПАСИБО !!!

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 3
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.u (DrWEB: Trojan.DownLoad.3503)
      2. \\malware - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)


  • Уважаемый(ая) timur_v, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Adware.virtumonde и PrivacyRemover.m64
      От za2ra3a в разделе Помогите!
      Ответов: 18
      Последнее сообщение: 22.02.2009, 08:25
    2. Win 32/Adware.virtumonde И Win/Privacyremover.m 64
      От crashen в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:52
    3. Adware.Virtumonde & PrivacyRemover.M64
      От vipar в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:22
    4. AdWare Virtumonde и PrivacyRemover M64
      От sadbadger в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 23.09.2008, 00:50
    5. Adware.Virtumonde, PrivacyRemover.M64
      От timur_v в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.08.2008, 02:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01066 seconds with 20 queries