Junior Member
Вес репутации
57
Не поверите, тоже Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64
Здравствуйте. Просьба помочь.
Тоже на рабочем столе вместо обоев сообщение: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer".
Также в свойствах рабочего стола перестали отображаться вкладки "рабочий стол" и "заставка".
Антивирус регулярно отлавливает трояны.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
скачайте C:\WINDOWS\system32\Drivers\Winjp84.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\autorun.inf','');
DeleteService('Winjp84');
DeleteService('WudfSvcUPS');
DeleteService('WudfSvcidsvc');
DeleteService('winmgmtseclogonSwPrv');
DeleteService('W32TimeW32Time');
DeleteService('VSSAppMgmt');
DeleteService('upnphostCiSvc');
DeleteService('TrkWks Licensing Service');
DeleteService('TrafSvcgusvcdmserverPlugPlay');
DeleteService('SwPrvNtmsSvc');
DeleteService('srserviceDhcp');
DeleteService('seclogonSwPrv Smart');
DeleteService('seclogonSwPrv');
DeleteService('ScheduleSamSs');
DeleteService('SamSsW32Time');
DeleteService('SamSsALG');
DeleteService('rpcapd LM Service');
DeleteService('RemoteRegistrywuauservTrkWks');
DeleteService('RemoteRegistrywuauservSCardSvr');
DeleteService('RemoteRegistrywuauserv');
DeleteService('ProtectedStorageRDSessMgrFontCache3.0.0.0');
DeleteService('ProtectedStorageRDSessMgr');
DeleteService('PolicyAgentRemoteRegistrywuauserv');
DeleteService('PolicyAgentSamSs');
DeleteService('PolicyAgentPnkBstrA');
DeleteService('PolicyAgentERSvc');
DeleteService('oseMessengerRasAuto');
DeleteService('oseMessengerHTTPFilter');
DeleteService('oseMessenger');
DeleteService('NtLmSspProtectedStorage');
DeleteService('NetmanxmlprovRDSessMgr');
DeleteService('Netmanxmlprov');
DeleteService('NetDDEdsdmProtectedStorageRDSessMgr');
DeleteService('MSDTCUPS');
DeleteService('McAfeeFrameworkdmadminSharedAccess');
DeleteService('lanmanserverMcTaskManager');
DeleteService('ImapiServiceTapiSrv');
DeleteService('idsvcATIxmlprov');
DeleteService('HidServSchedule');
DeleteService('gusvcidsvc');
DeleteService('gusvcdmserverPlugPlayW32Time');
DeleteService('gusvcdmserverPlugPlay');
DeleteService('FLEXnetwinmgmtShellHWDetection');
DeleteService('FLEXnetwinmgmt');
DeleteService('EventSystemSpooler');
DeleteService('EventlogUPS');
DeleteService('dmserverPlugPlaywuauserv');
DeleteService('dmserverPlugPlay');
DeleteService('dmadminSharedAccess');
DeleteService('CryptSvcClipSrvSysmonLogCiSvc');
DeleteService('clr_optimization_v2.0.50727_32WudfSvc');
DeleteService('ClipSrvSysmonLogwinmgmt');
DeleteService('ClipSrvSysmonLogCiSvc');
DeleteService('ClipSrvSysmonLog');
DeleteService('CiSvcW32Time');
DeleteService('BrowserSCardSvr');
DeleteService('ATIxmlprov');
DeleteService('AtiHidServSchedule');
QuarantineFile('srv.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Winjp84.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winjp84.sys');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winjp84.sys');
DeleteFile('C:\WINDOWS\system32\blphc5llj0e90e.scr');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
57
Больлшое спасибо. Вроде помогло. Карантин отправил.
Вложения
Нарушения правил при сборе информации для раздела Помогите.
- Не закрыты все программы
- Не запущен Интернет Эксплорер.
Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Удалите WildTangent, повторите логи в соответствии с правилами начиная от п.10 правил.
Junior Member
Вес репутации
57
Вложения
пофиксите...
Код:
O4 - HKLM\..\Run: [WhenUSearchWHSE] "C:\Program Files\DAEMON Tools SearchBar\whse.exe
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
выполните скрипт ...
Код:
begin
DeleteFile('C:\Program Files\DAEMON Tools SearchBar\whse.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
больше ничего плохого ...
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 28 В ходе лечения вредоносные программы в карантинах не обнаружены