Junior Member
Вес репутации
58
На рабочем столе Spyware detected Virtumonde, PrivasyRemover M64
Знакомый принес ноутбук зараженный вирусами.
На рабочем столе висит:
Warning
Spyware detected...
Virtumonde
PrivasyRemover M64
На ноуте стоял неактивированный KIS7, но грузится еще Antivirus XP2008, который по рассказу владельца не было, он предлагает удалить вирусы. Сам он не деинсталируется - похоже сам он и есть вирус.
Подскажите советом, пожалуйста.
Заранее благодарен.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
58
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\program files\rhcek6j0erdk\rhcek6j0erdk.exe');
TerminateProcessByName('c:\windows\system32\pphcak6j0erdk.exe');
QuarantineFile('C:\WINDOWS\system32\~.exe','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\L3R136W6\load[1].exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm05.sys','');
QuarantineFile('C:\WINDOWS\system32\services.exe','');
QuarantineFile('C:\WINDOWS\system32\lsass.exe','');
QuarantineFile('C:\WINDOWS\system32\spoolsv.exe','');
QuarantineFile('C:\WINDOWS\System32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('c:\program files\rhcek6j0erdk\rhcek6j0erdk.exe','');
QuarantineFile('c:\windows\system32\pphcak6j0erdk.exe','');
DeleteFile('c:\windows\system32\pphcak6j0erdk.exe');
DeleteFile('c:\program files\rhcek6j0erdk\rhcek6j0erdk.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm05.sys');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Temporary Internet Files\Content.IE5\L3R136W6\load[1].exe');
DeleteFile('C:\WINDOWS\system32\~.exe');
BC_ImportAll;
BC_DeleteSvc('Winhm05');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28838
Повторите логи.
Junior Member
Вес репутации
58
Карантин выслал по указанной ссылке, а логи ниже
Вложения
По поводу некоторых файлов нужно подождать ответа аналитиков.
C:\WINDOWS\system32\WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.ayw (удалён)
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\lphcak6j0erdk.exe','');
QuarantineFile('/r.exe','');
DeleteFile('C:\WINDOWS\system32\lphcak6j0erdk.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=28838
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Повторите логи.
Последний раз редактировалось wise-wistful; 25.08.2008 в 04:15 .
Junior Member
Вес репутации
58
Компьютер все тище и тище становится :-)
Еще раз логи
Вложения
попробуйте поискать через АВЗ--сервис--поиск файлов на диске r.exe если найдётся - то загрузите согласно приложения 2 правил.
Junior Member
Вес репутации
58
К сожалению avz его не нашел
пофиксите
Код:
O4 - HKLM\..\Run: [advap32] /r
лог hijackthis.log повторите
Junior Member
Вес репутации
58
Вложения
теперь нужно подождать ответа аналитиков по оставшимся файлам из вашего карантина.
Junior Member
Вес репутации
58
Ок, спасибо. Тогда продолжим ,надеюсь, сегодня вечером.
Junior Member
Вес репутации
58
А Аналитики долго будут расшифровывать вирус ?
Просто меня попросили как можно скорее избавить комп от вирусов
Сообщение от
Dmitry2
А Аналитики долго будут расшифровывать вирус ?
Просто меня попросили как можно скорее избавить комп от вирусов
Я им напомнил
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 31 В ходе лечения обнаружены вредоносные программы:
c:\\documents and settings\\admin\\local settings\\temporary internet files\\content.ie5\\l3r136w6\\load[1].exe - Trojan-Downloader.Win32.Mutant.bge (DrWEB: Trojan.MulDrop.1869 c:\\program files\\rhcek6j0erdk\\rhcek6j0erdk.exe - not-a-virus:FraudTool.Win32.AntivirusXP2008.s (DrWEB: Trojan.Packed.600) c:\\windows\\system32\\~.exe - Trojan-Downloader.Win32.Mutant.bge (DrWEB: Trojan.MulDrop.1869 c:\\windows\\system32\\lsass.exe - Trojan.Win32.Patched.cx c:\\windows\\system32\\pphcak6j0erdk.exe - not-a-virus:FraudTool.Win32.MalwareProtector.s (DrWEB: Trojan.Fakealert.1233) c:\\windows\\system32\\services.exe - Trojan.Win32.Patched.cx c:\\windows\\system32\\svchost.exe - Trojan.Win32.Patched.cx c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayw (DrWEB: Trojan.Packed.573)