Добрый день.
Я поймал Win32/Adware.Virtumonde в компании с Win32/PrivacyRemover.M64. Об этом я узнал из картинке на десктопе, сменившей картинку, которая у меня стояла раньше.
В общем, наверное, все как у всех.
Заранее спасибо.
Добрый день.
Я поймал Win32/Adware.Virtumonde в компании с Win32/PrivacyRemover.M64. Об этом я узнал из картинке на десктопе, сменившей картинку, которая у меня стояла раньше.
В общем, наверное, все как у всех.
Заранее спасибо.
Отключив интернет и антивирус, выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\System32\drivers\Wincj86.sys',''); QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll',''); DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll'); DeleteFile('C:\WINDOWS\System32\drivers\Wincj86.sys'); DeleteFile('C:\WINDOWS\system32\blphcae9j0ev5e.scr'); DeleteFile('C:\WINDOWS\system32\drivers\Winio17.sys'); BC_ImportDeletedList; BC_DeleteSvc('Winpw07'); BC_DeleteSvc('Winou74'); BC_DeleteSvc('Windk42'); BC_DeleteSvc('Winbi53'); BC_DeleteSvc('TrkWksNetDDEdsdm'); BC_DeleteSvc('ThemesSpooler'); BC_DeleteSvc('TermServicehelpsvc'); BC_DeleteSvc('Spooler LM Service'); BC_DeleteSvc('dmadminCiSvc'); BC_DeleteSvc('AppMgmtShellHWDetection'); ExecuteSysClean; BC_Activate; ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29191).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Выполнил скрипт, и картинка исчезла с десктопа.
Не могу понять одного - у меня в карантине две папки, датированные разными числами (видимо из-за того, что сканирование проводилось до полуночи и после нее). Какой архив с карантином Вам выслать, более ранний или более поздний?
Все остальное прикладываю к сообщению.
1. До выполнения следующих пунктов пришлите карантин с последней датой.
2. Пофиксите в HijackThis:
3. Выполните скрипт в AVZ:Код:O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
Компьютер перезагрузится.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\Program Files\test.com',''); DeleteFile('C:\Program Files\test.com'); BC_ImportDeletedList; ExecuteSysClean; BC_DeleteSvc('Winnu63'); BC_DeleteSvc('W32TimeRasMan'); BC_DeleteSvc('SwPrvMessenger'); BC_Activate; RebootWindows(true); end.
4. Пришлите новый карантин согласно приложению 3 правил.
5. Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Сделал.
В карантине, кажется, только test.com - он же переименованный hijackthis.
Как дальше?
Спасибо еще раз - все вернулось на свои места еще после первого скрипта.
Как жить дальше?
попробую поставить drweb, хотя я уже морально готов сменить виндоус на какой-нибудь дистрибутив линукс.
да, но, насколько мне известно, их все же меньше. и этот мой постинг - первый случай, когда я не смог изжить зловреда. а когда я увидел присланные мне скрипты, то понял, где прокололся в случае с adware.virtumonde и privacypemover'ом. впредь наука.
тем более, у меня есть желание разбираться в *nix. на то есть масса разных причин, и президентский указ в их число не входит.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\wincj86.sys - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)
- c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azr (DrWEB: Trojan.DownLoad.3503)
Уважаемый(ая) summoner, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.