Показано с 1 по 6 из 6.

И снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 (заявка № 29127)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    3
    Вес репутации
    57

    Exclamation И снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64

    Здравствуйте. Сделал все по инструкции. Посмотрите пожалуйста.
    Заранее благодарю.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS.0\system32\WinCtrl32.dll
    C:\WINDOWS.0\system32\WinCtrl32.bak
    C:\WINDOWS.0\system32\WinCtrl32.dl_
    C:\WINDOWS.0\system32\WinDat.cab
    C:\WINDOWS.0\System32\Drivers\Windi04.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('AdobeSchedule');
     DeleteService('AppMgmt Tomcat 4.1');
     DeleteService('AppMgmtMSIServer');
     DeleteService('AudioSrvUPS');
     DeleteService('CiSvcSharedAccess');
     DeleteService('DhcpNetDDE');
     DeleteService('DhcpSysmonLogWmdmPmSN');
     DeleteService('ERSvcERSvc');
     DeleteService('Eventlogstisvc');
     DeleteService('EventlogstisvcstisvcTrkWks');
     DeleteService('EventlogstisvcW32Time');
     DeleteService('HidServPolicyAgent');
     DeleteService('HTTPFilterNetlogon');
     DeleteService('Irmon Tomcat 4.1');
     DeleteService('LexBceSose');
     DeleteService('LexBceSRasManALG');
     DeleteService('MessengerDcomLaunch');
     DeleteService('MSDTCNtmsSvc');
     DeleteService('Netlogon Tomcat 4.1');
     DeleteService('NetmanTermService');
     DeleteService('NlaDnscache');
     DeleteService('NlastisvcTrkWks');
     DeleteService('ProtectedStorageSharedAccesssrservice');
     DeleteService('RasAutoVSS');
     DeleteService('RasAutoVSSRasAuto');
     DeleteService('RasManALG');
     DeleteService('RDSessMgrImpactMySQL');
     DeleteService('RDSessMgrImpactMySQLNetDDEdsdm');
     DeleteService('RemoteAccessupnphost');
     DeleteService('SharedAccesssrservice');
     DeleteService('stisvcTrkWks');
     DeleteService('SwPrvNetDDEdsdm');
     DeleteService('SwPrvWZCSVC');
     DeleteService('SysmonLogWmdmPmSN');
     DeleteService('TermServiceImpactMySQL');
     DeleteService('VSSgusvc');
     DeleteService('VSSRasManALG');
     DeleteService('winmgmtFastUserSwitchingCompatibility');
     DeleteService('wuauserv Tomcat 4.1');
     DeleteService('wuauservRemoteRegistry');
     DeleteService('wuauservseclogon');
     DeleteService('Windi04');
     DeleteService('Jou84');
     DeleteService('Winua04');
     DeleteService('Winty40');
     DeleteService('Wintb62');
     DeleteService('Winsx27');
     DeleteService('Winrw51');
     DeleteService('Winqv83');
     DeleteService('Winpu38');
     DeleteService('Winns72');
     DeleteService('Winmr04');
     DeleteService('Winkp83');
     DeleteService('Winhm51');
     DeleteService('Wingl38');
     DeleteService('Winfk62');
     DeleteService('Winej51');
     DeleteService('Winch72');
     DeleteService('Winaf37');
     DeleteService('Winaf05');
    QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winaf05.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winfk62.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wingl38.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winhm51.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winkp83.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winmr04.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winns72.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winpu38.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqv83.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winrw51.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx27.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wintb62.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winty40.sys','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winua04.sys','');
     QuarantineFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr','');
     QuarantineFile('C:\WINDOWS.0\system32\WinCtrl32.dll','');
     DelBHO('{52D55692-62EB-406D-915C-6B018307B682}');
     QuarantineFile('C:\WINDOWS.0\system32\advapi3.dll','');
     QuarantineFile('C:\WINDOWS.0\system32\advapi3.dll_','');
     DeleteFile('C:\WINDOWS.0\system32\advapi3.dll_');
     DeleteFile('C:\WINDOWS.0\system32\advapi3.dll');
     DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winua04.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winty40.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Wintb62.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx27.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winrw51.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqv83.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winpu38.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winns72.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winmr04.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winkp83.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winhm51.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Wingl38.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winfk62.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winej51.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winch72.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winaf37.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Winaf05.sys');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('AdobeSchedule');
     BC_DeleteSvc('AppMgmt Tomcat 4.1');
     BC_DeleteSvc('AppMgmtMSIServer');
     BC_DeleteSvc('AudioSrvUPS');
     BC_DeleteSvc('CiSvcSharedAccess');
     BC_DeleteSvc('DhcpNetDDE');
     BC_DeleteSvc('DhcpSysmonLogWmdmPmSN');
     BC_DeleteSvc('ERSvcERSvc');
     BC_DeleteSvc('Eventlogstisvc');
     BC_DeleteSvc('EventlogstisvcstisvcTrkWks');
     BC_DeleteSvc('EventlogstisvcW32Time');
     BC_DeleteSvc('HidServPolicyAgent');
     BC_DeleteSvc('HTTPFilterNetlogon');
     BC_DeleteSvc('Irmon Tomcat 4.1');
     BC_DeleteSvc('LexBceSose');
     BC_DeleteSvc('LexBceSRasManALG');
     BC_DeleteSvc('MessengerDcomLaunch');
     BC_DeleteSvc('MSDTCNtmsSvc');
     BC_DeleteSvc('Netlogon Tomcat 4.1');
     BC_DeleteSvc('NetmanTermService');
     BC_DeleteSvc('NlaDnscache');
     BC_DeleteSvc('NlastisvcTrkWks');
     BC_DeleteSvc('ProtectedStorageSharedAccesssrservice');
     BC_DeleteSvc('RasAutoVSS');
     BC_DeleteSvc('RasAutoVSSRasAuto');
     BC_DeleteSvc('RasManALG');
     BC_DeleteSvc('RDSessMgrImpactMySQL');
     BC_DeleteSvc('RDSessMgrImpactMySQLNetDDEdsdm');
     BC_DeleteSvc('RemoteAccessupnphost');
     BC_DeleteSvc('SharedAccesssrservice');
     BC_DeleteSvc('stisvcTrkWks');
     BC_DeleteSvc('SwPrvNetDDEdsdm');
     BC_DeleteSvc('SwPrvWZCSVC');
     BC_DeleteSvc('SysmonLogWmdmPmSN');
     BC_DeleteSvc('TermServiceImpactMySQL');
     BC_DeleteSvc('VSSgusvc');
     BC_DeleteSvc('VSSRasManALG');
     BC_DeleteSvc('winmgmtFastUserSwitchingCompatibility');
     BC_DeleteSvc('wuauserv Tomcat 4.1');
     BC_DeleteSvc('wuauservRemoteRegistry');
     BC_DeleteSvc('wuauservseclogon');
     BC_DeleteSvc('Windi04');
     BC_DeleteSvc('Jou84');
     BC_DeleteSvc('Winua04');
     BC_DeleteSvc('Winty40');
     BC_DeleteSvc('Wintb62');
     BC_DeleteSvc('Winsx27');
     BC_DeleteSvc('Winrw51');
     BC_DeleteSvc('Winqv83');
     BC_DeleteSvc('Winpu38');
     BC_DeleteSvc('Winns72');
     BC_DeleteSvc('Winmr04');
     BC_DeleteSvc('Winkp83');
     BC_DeleteSvc('Winhm51');
     BC_DeleteSvc('Wingl38');
     BC_DeleteSvc('Winfk62');
     BC_DeleteSvc('Winej51');
     BC_DeleteSvc('Winch72');
     BC_DeleteSvc('Winaf37');
     BC_DeleteSvc('Winaf05');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    3
    Вес репутации
    57

    все сделал

    (увы, но кроме вирусов нада еще и работать )
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS.0\System32\Drivers\Windi04.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Windi04');
     DeleteService('lanmanworkstationNetDDEdsdm');
     QuarantineFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr','');
     QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys','');
     DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys');
     DeleteFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Windi04');
     BC_DeleteSvc('lanmanworkstationNetDDEdsdm');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    3
    Вес репутации
    57

    посмотрите пожалуйста

    Windi04.sys не найден
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    Если записи в hosts делали не Вы
    - Выполните скрипт
    Код:
    begin
     executerepair(13);
    RebootWindows(true);
    end.
    Больше ничего плохого не видно.
    Сервис Пак 3 поставьте, возможно потребуется активация системы.

  • Уважаемый(ая) roman_bv, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 - снова
      От atatat в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.10.2011, 14:57
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    3. Снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64.
      От Adis_S в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:50
    4. И снова Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64
      От RoVaL в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 22.02.2009, 07:15
    5. Ответов: 3
      Последнее сообщение: 16.09.2008, 15:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00531 seconds with 18 queries