-
Junior Member
- Вес репутации
- 57
Помогите, пожалуйста, с вирусом.
Здравствуйте.
У меня на рабочем столе появилась табличка Windows Warning Message.Win32/Adware Virtumonde и Win32/PrivacyRemover.M64.
После использования osam_autorun_manager что то удалось удалить (табличка пропала), и Nod32 заявляет что вирусов нет. Хотя, видно что это не так...
Возможно я что-то не то удалил, так как исчезли закладки "Рабочий стол" и "Заставка" в окне свойств экрана - переодически рабочий стол заполняется синим экраном со злобным сообщением и заставка не работает.
Помогите, пожалуйста. Заранее спасибо.
Последний раз редактировалось pro-al; 09.11.2009 в 00:19.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Winferno\RegistryPowerCleaner\RegPowerClean.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcvfdj0enoq.scr','');
QuarantineFile('%system32%\drivers\AppMgmtSwPrv.sys','');
QuarantineFile('%system32%\drivers\CryptSvcMessenger.sys','');
QuarantineFile('%system32%\drivers\wscsvcNetman.sys','');
QuarantineFile('%system32%\drivers\SamSsRasMan.sys','');
QuarantineFile('AppMgmtSwPrv.sys','');
QuarantineFile('CryptSvcMessenger.sys','');
QuarantineFile('wscsvcNetman.sys','');
QuarantineFile('SamSsRasMan.sys','');
QuarantineFile('c:\program files\yandex\online\online.exe','');
DeleteFile('C:\WINDOWS\system32\blphcvfdj0enoq.scr');
BC_ImportALL;
ExecuteSysClean;
BC_QrSvc('AppMgmtSwPrv');
BC_QrSvc('CryptSvcMessenger');
BC_QrSvc('SamSsRasMan');
BC_QrSvc('wscsvcNetman');
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(5);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин по правилам (загружать здесь: http://virusinfo.info/upload_virus.php?tid=31014 ).
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и исправить. Данную операцию повторить для категории "Настройки и твики браузера".
Очистите временные папки и кеш браузера.
Удалите RegistryPowerCleaner и уберите его из планировщика задач, это нехорошая вещь.
Сделайте новые логи.
Вам такие службы знакомы?
Управление приложениями AppMgmtSwPrv
Службы криптографии CryptSvcMessenger
Диспетчер учетных записей безопасности SamSsRasMan
Центр обеспечения безопасности wscsvcNetman
?
-
-
Junior Member
- Вес репутации
- 57
Скрипт выполнил (закладки появились), карантин загрузил по указанной ссылке.
Очистил временные папки и кеш браузера.
К сожалению, я не знаю как удалить RegistryPowerCleaner и уберать его из планировщика задач. Подскажите, пожалуйста.
Логи вкладываю.
Перечисленные вами службы мне не знакомы...
Последний раз редактировалось pro-al; 09.11.2009 в 00:19.
-
Сообщение от
pro-al
К сожалению, я не знаю как удалить RegistryPowerCleaner и уберать его из планировщика задач.
Удалить через Панель управления/Приложения, потом Пуск/Выполнить...
+ВВОД, удалить задачу.
Это приложение
Вам известно? Если нет - удалите как приложение.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Schedule', 4);
QuarantineFile('C:\WINDOWS\system32\drivers\wscsvcNetman.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\SamSsRasMan.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\CryptSvcMessenger.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\AppMgmtSwPrv.sys','');
DeleteService('wscsvcNetman');
DeleteService('SamSsRasMan');
DeleteService('CryptSvcMessenger');
DeleteService('AppMgmtSwPrv');
DeleteFile('C:\WINDOWS\system32\drivers\wscsvcNetman.sys');
DeleteFile('C:\WINDOWS\system32\drivers\SamSsRasMan.sys');
DeleteFile('C:\WINDOWS\system32\drivers\CryptSvcMessenger.sys');
DeleteFile('C:\WINDOWS\system32\drivers\AppMgmtSwPrv.sys');
DelBHO('{95F6242A-62E4-4756-892F-F5D5D399CA25}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DeleteFile('C:\Program Files\Winferno\RegistryPowerCleaner\RegPowerClean.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wscsvcNetman');
BC_DeleteSvc('SamSsRasMan');
BC_DeleteSvc('CryptSvcMessenger');
BC_DeleteSvc('AppMgmtSwPrv');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
RegistryPowerCleaner удалил в "Панель управления/Назначенные задания".
Что значит "Удалить через Панель управления/Приложения"? В "Панели управления" нет "Приложения", имеется ввиду "установка и удаление программ"?
Файл C:\Program Files\Blink\ не нашел.... нашел файл Blink в другом месте- удалил вручную.
Все сделал. Карантин загрузил.
Прикрепляю логи.
Последний раз редактировалось pro-al; 09.11.2009 в 00:18.
-
-Пофиксите
Код:
O14 - IERESET.INF: START_PAGE_URL=http://philka.ru
Больше ничего подозрительного.
Сообщение от
pro-al
Файл C:\Program Files\Blink\ не нашел.... нашел файл Blink в другом месте- удалил вручную
У Вас это приложение установлено. Его нужно удалить, как приложение, а не удалять отдельные файлы. Кстати, оно у Вас работает и запускается как служба. Если оно Вам необходимо, то удалять его не нужно.
ПС: Указанная строчка - не файл, а имя приложения.
-
-
Junior Member
- Вес репутации
- 57
Пофиксил.
В панель управления/установка и удаление программ нет приложения C:\Program Files\Blink\. Подскажите где и как его найти...
А как вообще определить, какие приложения запускаются как служба?
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Blink\blink.exe','');
DeleteService('Blink Service');
DeleteFile('C:\Program Files\Blink\blink.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Blink Service');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
Код:
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 57
Все выполнил. Карантин выслал.
Последний раз редактировалось pro-al; 09.11.2009 в 00:18.
-
Ничего подозрительного не видно.
Проблемы есть?
-
-
Junior Member
- Вес репутации
- 57
Да нет, проблемы кончились после второго скрипта)
Большое большое спасибо!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 33
- В ходе лечения вредоносные программы в карантинах не обнаружены
-