Эпидемия Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64

[Букволюб]

Добрый час, хозяева!
Висит эта угрожающая таблица вместо обоев, но все иконки работают. Антивирус не стоял. Проверил с помощью DrWeb - CureIT!. Первый раз несколько файлов вылечено, 2 -- перемещено в папку карантин. Второй раз вирусов не обнаружено, указано лишь на 2 перемещённых файла. Первый раз (ещё не зная про ваш сайт) проверил в обычном режиме, второй раз -- скачал ДрВэба снова и проверил в безопасном режиме и в "администраторе" (или "админ" здесь не обязателен?). Вот только ДрВэба я скачал не на CD (нет свободного носителя, а в инструкции сказано только "желательно"), а на диск С. Если это сказалось на результате -- то что ж... куплю носитель, переделаю. Остальное, надеюсь, точно по инструкции.
Благодарю вас за ваше подвижничество. Надеюсь, до списания. С уважением,
Букволюб.

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\System32\Drivers\Winjp84.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winns48.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winxe83.sys');
 DeleteFile('C:\WINDOWS\system32\blphc94tj0e94t.scr');
 DeleteService('Winxe83');
 DeleteService('Winns48');
 DeleteService('Winjp84');
 BC_ImportDeletedList;
 ExecuteRepair(6);
 ExecuteRepair(5);
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи

[Букволюб]

Благодарю, дорогой Акок!
Выполнил скрипт. Теперь во время перезагрузки, таблица появляется ненадолго, но потом исчезает. Уже лучше! Вместо обоев сначала получился синий фон -- вставил из обоев прежнюю картинку -- совсем хорошо.
Выполнил логи снова в два этапа. Что-то много получилось документов... Поскольку, извините, не знаю, так должно быть или не так, то упаковал в два архива и шлю то, что получилось. Если что-то не так -- переделаю.
Жду ответа, как йеговист конца света!

[Rene-gad]

В логах ничего подозрительного.
Какие проблемы остались?

[Букволюб]

Благодарю за сочувствие, Рене-гад!
Ну большой проблемой это назвать нельзя, но всё же... При загрузке, перед "приветствием" эта вредоносная таблица на несколько секунд вылезает-таки. Можно ли как-то совсем про неё забыть?

И ещё, не совсем по теме. Среди перемещённых файлов был примерно такой:

mycentriainfobar.dll

Adware.Mycentria.7

Это что-то нужное или можно стереть?

[Rene-gad]

При загрузке, перед "приветствием" эта вредоносная таблица на несколько секунд вылезает-таки.

Запустите редактор реестра, пройдите в папку HKEY_USERS\S-1-5-18\Control Panel\Desktop, удалите содержимое ключа "Wallpaper", ключи
"OriginalWallpaper" и "ConvertedWallpaper" можно удалить совсем.

Код:

И ещё, не совсем по теме. Среди перемещённых файлов был примерно такой:
mycentriainfobar.dll
Adware.Mycentria.7

Файлы закачайте по правилам (приложения 2 и 3), потом можете удалить.

[Букволюб]

Удалил содержимое всех трех ключей (решил, что совсем удалить последние два ключа всегда успею) и таблица перестала появляться -- благодарю.

Два перемещённых файла:
mycentriainfobar.dll
descript.ion
находятся в папке C:\Document and Setting\Администратор\DoctorWeb

При выполнении приложения 2 (я так понял, что Вы имели в виду правила форума), ввожу эти имена , но на четвертом пункте в AVZ вижу:
Карантин с использованием прямого чтения – ошибка
Ошибка карантина, попытка прямого чтения (C:\WIDOWS\system32\ mycentriainfobar.dll)
То же самое и для другого файла

Я неправильно ввожу названия, или файлы сидят не в той папке?

[Rene-gad]

Я неправильно ввожу названия, или файлы сидят не в той папке?

Ну Вы если кошелек в лесу потеряете, будете его там же искать или под настольной лампой - потому что тут светлее?
Вы же сказали, что файлы лежат C:\Document and Setting\Администратор\DoctorWeb , а пытаетесь их из C:\WIDOWS\system32\ загрузить

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\documents and settings\\дима\\рабочий стол\\mycentriainfobar.dll - not-a-virus:AdWare.Win32.MyCentria.a (DrWEB: Trojan.Mycentria.7)