Показано с 1 по 11 из 11.

Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 | Вот они, эти ребята.. (заявка № 29100)

  1. #1
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    11
    Вес репутации
    57

    Thumbs up Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 | Вот они, эти ребята..

    День добрый.

    Не было у меня надоедливых вирусов со времён бластера. Пользуюсь последнее время DrWeb.

    Вдруг на те, получите. Комп умирает смертью храбрых с синим окном смерти. А при загрузке перед приветствием и на обоях рабочего стола красуется разкрасивейшее окошко этих расчудес. Сменить его нельзя. Одним словом, всё по дефолту. )))
    _____________________________________________

    Скачал я свежий CureIt, сделал быструю проверку, тот удалил несколько троянчиков. Но проблема не исчезла.

    Я погуглил, зашёл на этот форум. В одном из топиков по моей проблеме взял скрипт для AVZ, скачал программу, запустил скрипт, комп ушёл в ребут.

    После перезагрузки поменять картинку на рабочем столе уже можно, т.к. в свойствах рабочего стола появилась соответствующая вкладка + остальные. Однако перед приветствием это окошко пару секунд всё равно висит.
    _____________________________________________

    Я решил, что нужно всё равно выяснить что с компутером творится и постарался сделать всё по вашей инструкции по диагностике.

    Извините если наболтал много, или что сделал не так.

    Лог файлы в сообщение вложил.
    Жду от вас рекомендаций к дальнейшим действиям.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\secpol.exe,
    O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\secpol.exe','');
     DeleteFile('C:\WINDOWS\system32\blphc39oj0eafw.scr');
     DeleteFile('C:\WINDOWS\system32\secpol.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
     BC_DeleteSvc('WZCSVCSpooler');
     BC_DeleteSvc('WudfSvcVSSNetlogonWZCSVCwscsvcTermService');
     BC_DeleteSvc('WudfSvcVSSNetlogonWZCSVCwscsvc');
     BC_DeleteSvc('WudfSvcVSSNetlogonWZCSVCVSS');
     BC_DeleteSvc('WudfSvcVSSNetlogonWZCSVCSENS');
     BC_DeleteSvc('WudfSvcVSSNetlogonWZCSVC');
     BC_DeleteSvc('WudfSvcseclogon');
     BC_DeleteSvc('wuauservLmHostsSSDPSRV');
     BC_DeleteSvc('winmgmtRasAuto');
     BC_DeleteSvc('winmgmtProtectedStorage');
     BC_DeleteSvc('winmgmtERSvcPolicyAgent');
     BC_DeleteSvc('VSSNetlogonWZCSVC');
     BC_DeleteSvc('VSSNetlogon');
     BC_DeleteSvc('upnphostNtLmSsp');
     BC_DeleteSvc('ThemesSysmonLog');
     BC_DeleteSvc('TermServiceCryptSvcERSvc');
     BC_DeleteSvc('TapiSrvWMPNetworkSvcWmdmPmSN');
     BC_DeleteSvc('TapiSrvWMPNetworkSvc');
     BC_DeleteSvc('ShellHWDetectionBITSsrservice');
     BC_DeleteSvc('SharedAccesshelpsvcRpcSs');
     BC_DeleteSvc('SharedAccesshelpsvc');
     BC_DeleteSvc('RemoteAccessThemes');
     BC_DeleteSvc('RemoteAccess LM Service');
     BC_DeleteSvc('RasAutoProtectedStorage');
     BC_DeleteSvc('NtLmSspAlerter');
     BC_DeleteSvc('Nlawscsvc');
     BC_DeleteSvc('NlaLmHostsSSDPSRV');
     BC_DeleteSvc('NetmanRemoteAccessThemes');
     BC_DeleteSvc('NetDDExmlprov');
     BC_DeleteSvc('NetDDEdsdmlanmanserverAlerter');
     BC_DeleteSvc('MSDTCTapiSrv');
     BC_DeleteSvc('MSDTCBITS');
     BC_DeleteSvc('mi-raysat_3dsmax8Nlawscsvc');
     BC_DeleteSvc('Messengerstisvc');
     BC_DeleteSvc('LmHostsSSDPSRV');
     BC_DeleteSvc('LmHostsAudioSrvRasMan');
     BC_DeleteSvc('LmHostsAudioSrv');
     BC_DeleteSvc('lanmanworkstationLmHostsSSDPSRV');
     BC_DeleteSvc('lanmanserverHTTPFilterRDSessMgr');
     BC_DeleteSvc('lanmanserverAlerter');
     BC_DeleteSvc('HTTPFilterRDSessMgr');
     BC_DeleteSvc('EventSystemDcomLaunch');
     BC_DeleteSvc('EventlogEventSystemDcomLaunch');
     BC_DeleteSvc('Eventlogaspnet_state');
     BC_DeleteSvc('ERSvcPolicyAgent');
     BC_DeleteSvc('CryptSvcERSvc');
     BC_DeleteSvc('CiSvcSPIDERNT');
     BC_DeleteSvc('CiSvcEventlog');
     BC_DeleteSvc('BrowserupnphostALGBrowserupnphost');
     BC_DeleteSvc('Browserupnphost');
     BC_DeleteSvc('BrowserNla');
     BC_DeleteSvc('BITSsrservice');
     BC_DeleteSvc('AutodeskSharedAccess');
     BC_DeleteSvc('AtiAppMgmt');
     BC_DeleteSvc('ALGBrowserupnphost');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил, если будет не пуст
    (загружать тут: http://virusinfo.info/upload_virus.php?tid=29100).
    Сделайте новые логи, начиная с п.10 правил.
    I am not young enough to know everything...

  4. #3
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    11
    Вес репутации
    57
    Пофиксил.
    Выполнил.
    Карантин пуст.

    ...Логи, второе пришествие. ))
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    В логах чисто. Проблем больше нет?
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    11
    Вес репутации
    57
    Есть проблема - окошко перед приветствием не пропадает. Как убрать?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    1. Запустите AVZ, откройте "Мастер поиска и устранения проблем" и исправьте это:
    >> Нарушение ассоциации SCR файлов
    >> Нарушение ассоциации REG файлов
    2. Выполните такой скрипт:
    Код:
    begin
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
    RebootWindows(true); 
    end.
    3. Обновите базы AVZ и сделайте новый лог п.8 правил.
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    11
    Вес репутации
    57
    Всё равно в течении одной секунды висит картинка Warning!... перед приветствием.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от anti_gluck Посмотреть сообщение
    Всё равно в течении одной секунды висит картинка Warning!... перед приветствием.
    Скачайте Malwarebytes Antimalware, скан, ничего не удалять, лог - в студию.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Поищите такой файл: phc39oj0eafw.bmp.
    Если найдется - удалите его.
    I am not young enough to know everything...

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от Bratez Посмотреть сообщение
    Поищите такой файл:
    Если найдется - удалите его.
    И еще такой скрипт попробуйте
    - Выполните скрипт
    Код:
    begin
    SetAVZGuardStatus(True);
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки проинформируйте о состоянии ПК.

  12. #11
    Junior Member Репутация
    Регистрация
    27.08.2008
    Сообщений
    11
    Вес репутации
    57
    Скрипт выполнил, картинка пропала.

    Потом нашёл phc39oj0eafw.bmp в system32 и удалил. Ибо зачем ему там валяться.

    Malwarebytes Antimalware скачивать не стал, так как надобности нет.


    Ребят, спасибо большое за помощь.

  • Уважаемый(ая) anti_gluck, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    2. Ответов: 20
      Последнее сообщение: 22.02.2009, 07:37
    3. Ответов: 29
      Последнее сообщение: 22.02.2009, 07:30
    4. Ответов: 17
      Последнее сообщение: 22.02.2009, 07:23
    5. Ответов: 3
      Последнее сообщение: 16.09.2008, 15:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00299 seconds with 20 queries