Win32/Adware.Virtnmonde и Win32/PrivacyRemover.M64

[Евгений Каюков]

Добрый день. Словил этот вирус, симптомы: картинка Warning на весь стол, не работающие вкладки в настройках вида рабочего стола.
Прошу Вашей помощи.
Заранее благодарен.
Логи прилагаються.

[Евгений Каюков]

ап

[AndreyKa]

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

Begin
ClearQuarantine;
SetAVZGuardStatus(True);
 ExecuteRepair(5);
 ExecuteRepair(6);
 ExecuteRepair(8);
 DeleteService('wscsvcSpooler');
 DeleteService('WmdmPmSNThemesRpcLocatorWmi');
 DeleteService('WmdmPmSNThemesRpcLocator');
 DeleteService('WmdmPmSNThemes');
 DeleteService('upnphostMessenger');
 DeleteService('upnphostdmadminSchedule');
 DeleteService('TlntSvrDhcp');
 DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphostdmserverCryptSvcwinmgmtupnphost');
 DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphost');
 DeleteService('SCardSvrWinVNC4');
 DeleteService('RemoteRegistrySpooler');
 DeleteService('RasAutoAudioSrv');
 DeleteService('PolicyAgentCryptSvcwinmgmt');
 DeleteService('NlaAudioSrv');
 DeleteService('NetlogonTlntSvr');
 DeleteService('napagentRasMan');
 QuarantineFile('srv.exe','');
 DeleteService('MDMSamSs');
 DeleteService('lanmanworkstationProtectedStorage');
 DeleteService('HTTPFilterDot3svc');
 DeleteService('HidServNetlogon');
 DeleteService('helpsvcCOMSysApp');
 DeleteService('FastUserSwitchingCompatibilitystisvc');
 DeleteService('dmserverCryptSvcwinmgmtupnphostImapiService');
 DeleteService('dmserverCryptSvcwinmgmtupnphost');
 DeleteService('dmadminSchedule');
 DeleteService('CryptSvcwinmgmtupnphostSENS');
 DeleteService('CryptSvcwinmgmtupnphost');
 DeleteService('CryptSvcwinmgmt');
 DeleteService('ClipSrvMSDTC');
 DeleteService('CiSvcHidServNetlogon');
 DeleteService('Browserhelpsvc');
 DeleteService('AudioSrvALG');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 SysCleanAddFile('C:\WINDOWS\system32\blphc9djj0el8j.scr');
 SysCleanAddFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
http://virusinfo.info/upload_virus.php?tid=29135

Сделайте новые логи начиная с 10-го пункта Правил и приложите их к этой теме.

[Евгений Каюков]

Вроде полегчало, на рабочем столе исчезла Варнинг, и вкладки появились. Но при загрузке на входе в систему еще висит изображение Варнинг. Карантиновые файлы выслал...

Добавлено через 14 минут

Как мне уту заразу добить?

Добавлено через 26 минут

up

[AndreyKa]

Ждем ваши новые логи.

[Евгений Каюков]

Извеняюсь, замечтался... Вот логи

[Rene-gad]

Извеняюсь, замечтался... Вот логи

Нарушения правил при сборе информации для раздела Помогите.


- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('wscsvcSpooler');
 DeleteService('WmdmPmSNThemesRpcLocatorWmi');
 DeleteService('WmdmPmSNThemesRpcLocator');
 DeleteService('WmdmPmSNThemes');
 DeleteService('upnphostMessenger');
 DeleteService('upnphostdmadminSchedule');
 DeleteService('TlntSvrDhcp');
 DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphostdmserverCryptSvcwinmgmtupnphost');
 DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphost');
 DeleteService('SCardSvrWinVNC4');
 DeleteService('RemoteRegistrySpooler');
 DeleteService('RasAutoAudioSrv');
 DeleteService('PolicyAgentCryptSvcwinmgmt');
 DeleteService('NlaAudioSrv');
 DeleteService('NetlogonTlntSvr');
 DeleteService('napagentRasMan');
 DeleteService('MDMSamSs');
 DeleteService('lanmanworkstationProtectedStorage');
 DeleteService('HTTPFilterDot3svc');
 DeleteService('HidServNetlogon');
 DeleteService('helpsvcCOMSysApp');
 DeleteService('FastUserSwitchingCompatibilitystisvc');
 DeleteService('dmserverCryptSvcwinmgmtupnphostImapiService');
 DeleteService('dmserverCryptSvcwinmgmtupnphost');
 DeleteService('dmadminSchedule');
 DeleteService('CryptSvcwinmgmtupnphostSENS');
 DeleteService('CryptSvcwinmgmtupnphost');
 DeleteService('CryptSvcwinmgmt');
 DeleteService('ClipSrvMSDTC');
 DeleteService('CiSvcHidServNetlogon');
 DeleteService('Browserhelpsvc');
 DeleteService('AudioSrvALG');
BC_ImportAll;
ExecuteSysClean; DeleteService('wscsvcSpooler');
 BC_DeleteSvc('WmdmPmSNThemesRpcLocatorWmi');
 BC_DeleteSvc('WmdmPmSNThemesRpcLocator');
 BC_DeleteSvc('WmdmPmSNThemes');
 BC_DeleteSvc('upnphostMessenger');
 BC_DeleteSvc('upnphostdmadminSchedule');
 BC_DeleteSvc('TlntSvrDhcp');
 BC_DeleteSvc('SSDPSRVdmserverCryptSvcwinmgmtupnphostdmserverCryptSvcwinmgmtupnphost');
 BC_DeleteSvc('SSDPSRVdmserverCryptSvcwinmgmtupnphost');
 BC_DeleteSvc('SCardSvrWinVNC4');
 BC_DeleteSvc('RemoteRegistrySpooler');
 BC_DeleteSvc('RasAutoAudioSrv');
 BC_DeleteSvc('PolicyAgentCryptSvcwinmgmt');
 BC_DeleteSvc('NlaAudioSrv');
 BC_DeleteSvc('NetlogonTlntSvr');
 BC_DeleteSvc('napagentRasMan');
 BC_DeleteSvc('MDMSamSs');
 BC_DeleteSvc('lanmanworkstationProtectedStorage');
 BC_DeleteSvc('HTTPFilterDot3svc');
 BC_DeleteSvc('HidServNetlogon');
 BC_DeleteSvc('helpsvcCOMSysApp');
 BC_DeleteSvc('FastUserSwitchingCompatibilitystisvc');
 BC_DeleteSvc('dmserverCryptSvcwinmgmtupnphostImapiService');
 BC_DeleteSvc('dmserverCryptSvcwinmgmtupnphost');
 BC_DeleteSvc('dmadminSchedule');
 BC_DeleteSvc('CryptSvcwinmgmtupnphostSENS');
 BC_DeleteSvc('CryptSvcwinmgmtupnphost');
 BC_DeleteSvc('CryptSvcwinmgmt');
 BC_DeleteSvc('ClipSrvMSDTC');
 BC_DeleteSvc('CiSvcHidServNetlogon');
 BC_DeleteSvc('Browserhelpsvc');
 BC_DeleteSvc('AudioSrvALG');
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17)
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Евгений Каюков]

Все сделал как написали. Вот логи.
Карантиновые файлы скинул.

Заранее благодарен.

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('wscsvcSpooler');
BC_ImportAll;
ExecuteSysClean; 
 BC_DeleteSvc('wscsvcSpooler');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Евгений Каюков]

Заранее благодарен за ответ.

[Rene-gad]

В логах чисто.
Джаву обновить надо.
Какие еще проблемы?

[Евгений Каюков]

Вроде Все, спасибо за оперативность. Респект Вам и уважуха!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 16
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azm (DrWEB: Trojan.DownLoad.3503)