Показано с 1 по 17 из 17.

И снова Virtumonde и PrivacyRemover ) (заявка № 28700)

  1. #1
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31

    Question И снова Virtumonde и PrivacyRemover )

    День добрый
    Как вижу, судя по названиям топиков проблема очень распространенная.
    Симптомы такие же как и у всех: вместо обоев на рабочем столе табличка: Warning spyware detected on your computer. Соответственно, Вредоносные программы Win32/Adware Virtumonde и Win32/PrivacyRemover.M64.
    Если не ошибаюсь, Virtumonde регулярно открывает кучу поп-ап окон с разной рекламой и т.д. Этот симптом также в наличии

    Судя по логам, кроме этих двух паразитов есть еще проблемы, буду очень рад, если поможете
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Читайте правила
    Пожалуйста, помните, что помощь Вам оказывается бесплатно, и на добровольной основе. Не требуйте помощи в категоричной форме.
    обработка заявок в порядке поступления.

    Нарушения правил при сборе информации для раздела Помогите.


    - Не выключено системное восстановление


    Логи выполненные с нарушением правил рассматриваться не будут.
    Повторите 3 лога в соответствии с правилами.
    Спасибо за понимание.

  4. #3
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31

    ок

    понял, прошу извинить )
    странно, точно помню, что выключал.
    новые логи вложил
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    А базы АВЗ почему старые в повторных логах???
    Работайте аккуратнее плиз - Ваше и наше время идет!!!
    Базы АВЗ обновить прежде чем дальше лечиться будем.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\svchost.exe');
     QuarantineFile('C:\WINDOWS\system32\colbaft.dll','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Mmw46.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Mmw46.sys','');
     QuarantineFile('C:\WINDOWS\system32\sysfldr.dll','');
     QuarantineFile('c:\windows\svchost.exe','');
     DeleteFile('c:\windows\svchost.exe');
     DeleteFile('C:\WINDOWS\system32\sysfldr.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Mmw46.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Mmw46.sys');
     DeleteFile('C:\WINDOWS\system32\blphcrusj0ep4v.scr');
     DeleteFile('C:\WINDOWS\system32\colbaft.dll');
     DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('Mmw46');
    BC_DeleteSvc('PowerManager');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31

    ок

    про базы забыл, извините.
    вроде все готово, карантин отправил, новые логи тут.

    табличка с предупреждением так и осталась, но общий фон сменился с белого на синий.

    + 2 закладки в свойствах экрана так и остались заблокированными...
    Вложения Вложения
    Последний раз редактировалось Амстердам; 22.08.2008 в 14:06.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Повторите выполнение скрипта из сообщения 4.
    Потом сделайте новые логи.
    С закладками разберемся после удаления зловредов.

  8. #7
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31

    ок

    готово.

    сменил обои - при перезагрузке картинка не слетела, так и осталась висеть, табличка не вылезает
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O2 - BHO: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL (file missing)
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
    O3 - Toolbar: Megaupload Toolbar - {4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C} - C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL (file missing)
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O17 - HKLM\System\CCS\Services\Tcpip\..\{6A177C74-F263-4918-A454-7123D03D021F}: NameServer = 85.255.114.75,85.255.112.212
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B8745675-791D-4C65-B8A4-360234FE7566}: NameServer = 85.255.114.75 85.255.112.212
    O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.116.117 85.255.112.203
    O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.75 85.255.112.212
    O17 - HKLM\System\CS3\Services\Tcpip\Parameters: NameServer = 85.255.114.75 85.255.112.212
    O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.75 85.255.112.212
    O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteService('PowerManager');
     QuarantineFile('C:\Program Files\SimpleCenter\bin\win\sclauncher.dll','');
     DelBHO('{4E7BD74F-2B8D-469E-CCB0-B130EEDBE97C}');
     DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
     QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
     QuarantineFile('C:\WINDOWS\svchost.exe','');
     DeleteFile('C:\WINDOWS\svchost.exe');
     DeleteFile('C:\PROGRA~1\MEGAUP~1\MEGAUP~1.DLL');
    DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('PowerManager');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  10. #9
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31

    ок

    пофиксил все, кроме:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{B8745675-791D-4C65-B8A4-360234FE7566}: NameServer = 85.255.114.75 85.255.112.212
    такой строки в логе хайджека просто не было...

    все остальное сделано )
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    - Выполните скрипт
    Код:
    begin
      RegKeyParamDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\System','kdimj.exe');
    RebootWindows(true);
    end.
    После перезагрузки сделайте повторный лог по стандартному скрипту 2 правил.
    - Прикрепите лог к новому сообщению.

  12. #11
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31

    ок

    готово.

    судя по логу, со зловредами покончено?
    а как теперь разлочить закладки в свойствах экрана?
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Запустите редактор реестра, пройдите к HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\, щелкните дважды по ключу System, удалите параметр kdimj.exe, закройте редактор реестра.

    - Выполните скрипт
    Код:
    begin
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RebootWindows(true);
    end.
    После перезагрузки сделайте лог по стандартному скрипту 2 и проинформируйте о состоянии ПК.

  14. #13
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31
    все сделал, закладки появились, правда параметр kdimj.exe у ключа появился вновь после перезагрузки.
    а так вроде все отлично )
    спасибо вам огромное, без вас бы не осилил
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    2997
    Цитата Сообщение от Амстердам Посмотреть сообщение
    параметр kdimj.exe у ключа появился вновь после перезагрузки.
    Это не есть хорошо. Поищите файл kdimj.exe и пришлите по приложениям 2 и 3 правил.
    Выполните скрипт
    Код:
    begin
    executerepair(7);
    RebootWindows(true);
    end.
    После перезагрузки сделайте лог по стандартному скрипту 2.
    Последний раз редактировалось Rene-gad; 22.08.2008 в 17:42. Причина: Добавлено

  16. #15
    Junior Member Репутация
    Регистрация
    22.08.2008
    Сообщений
    20
    Вес репутации
    31

    ок

    в общем файл нигде не нашел,даже в скрытых и системных папках. Все остальное сделал, но после ребута почему-то пропал инет, огонек дсл на модеме погас. При попытке установить соединение пишет про какую-то службу. Поискал в локальных службах,вроде ничего не нашел. При этом подключение по локальной сети есть,т.е. сетевая карта и модем работают. Пишу с телефона. Лог тоже тоже умудрился вложить с телефона )
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от Амстердам Посмотреть сообщение
    При попытке установить соединение пишет про какую-то службу.
    Процитируйте дословно.

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 28
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.w (DrWEB: Trojan.BhoSpy.2)
      2. c:\\program files\\trend micro\\hijackthis\\backups\\backup-20080822-153622-711.dll - Trojan.Win32.ConnectionServices.w (DrWEB: Trojan.BhoSpy.2)
      3. c:\\windows\\svchost.exe - Virus.Win32.Hidrag.a (DrWEB: Win32.HLLP.Jeefo.36352)
      4. c:\\windows\\system32\\comaddi.dll - Rootkit.Win32.Podnuha.aln (DrWEB: Trojan.DownLoad.4182)
      5. c:\\windows\\temp\\data.exe - Trojan.Win32.Pakes.bmj (DrWEB: Trojan.Inject.464)
      6. c:\\windows\\temp\\loader.exe - Trojan.Win32.Pakes.sb (DrWEB: Trojan.MulDrop.9300)
      7. c:\\windows\\temp\\load.exe - Trojan.Win32.Pakes.aoe (DrWEB: BackDoor.Bulknet.84)
      8. c:\\windows\\temp\\startdrv.exe - Trojan-Downloader.Win32.Injecter.an (DrWEB: Trojan.MulDrop.9752)


  • Уважаемый(ая) Амстердам, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 - снова
      От atatat в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.10.2011, 14:57
    2. Снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64.
      От Adis_S в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:50
    3. Virtumonde и PrivacyRemover
      От Joyfit в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:23
    4. И снова Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64
      От RoVaL в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:15
    5. И снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
      От roman_bv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.08.2008, 10:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01632 seconds with 22 queries