Вирус

Printable View

26.06.2008, 22:26
ImmortalVampire

Вложений: 3

Вирус

Начала тормозить система, вылетать с синим экраном, рабочий стол стал синим, с надписью "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer". Нодом проверил все, ничего не нашел. Установил Касперский, нашел трояны lanmanwrk.exe и kerneldrv.exe. Удалилял два раза, появляются снова. Правда после удаления перестала тормозить система и т.п., но в процессах они всеравно появляются. Помогите пожалуйста и подскажите как сделать нормальный рабочий стол. Заранее спасибо.
27.06.2008, 00:16
Kuzz

[url=http://virusinfo.info/showthread.php?t=4905]Отключите восстановление системы.[/url]

1. Скачайте IceSword: [url]http://mail.ustc.edu.cn/~jfpan/download/IceSword122en.zip[/url]

2. Запустите, слева внизу нажмите File, затем найдите файлы:
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winch05.sys
и сделайте им [url=http://virusinfo.info/showthread.php?t=17228]Force Delete[/url].

3. [url=http://virusinfo.info/showthread.php?t=4491]Пофиксите в HijackThis:[/url]
[CODE]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\SYSTEM32\WinCtrl32.dll
[/CODE]
4. [url=http://virusinfo.info/showthread.php?t=7239]Выполните скрипт в AVZ:[/url]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\lanmandrv.sys','');
DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
QuarantineFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll','');
QuarantineFile('D:\Program Files\BitAccelerator\BitAccelerator.dll','');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{1236D836-E9BA-4175-894F-2072A14D5A26}');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('LMIinit.dll','');
QuarantineFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr','');
QuarantineFile('D:\WINDOWS\services.exe','');
QuarantineFile('D:\WINDOWS\msvupdater.exe','');
DeleteService('Winsx15');
DeleteService('Winin83');
DeleteService('Winin05');
DeleteService('Winfk37');
DeleteService('Winej27');
DeleteService('Windi26');
DeleteService('Winaf50');
QuarantineFile('D:\WINDOWS\system32\Drivers\Tetri5.sys','');
DeleteService('Tetri5');
DeleteService('Puy51');
QuarantineFile('D:\WINDOWS\system32\Drivers\iqvw32.sys','');
DeleteService('Google Online Services');
StopService('Google Online Services');
QuarantineFile('D:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\litsgt.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\lmimirr.sys','');
QuarantineFile('D:\Program Files\LogMeIn\x86\RaInfo.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys','');
QuarantineFile('D:\WINDOWS\system32\Drivers\Winch05.sys','');
QuarantineFile('D:\WINDOWS\system32\TUKERNEL.EXE','');
QuarantineFile('D:\WINDOWS\System32\Dll.dll','');
QuarantineFile('d:\windows\services.exe','');
DeleteFile('d:\windows\system32\kerneldrv.exe');
DeleteFile('d:\windows\system32\lanmanwrk.exe');
DeleteFile('d:\windows\services.exe');
DeleteFile('D:\WINDOWS\System32\Dll.dll');
DeleteFile('D:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('D:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\autosearch_plugin.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\tbhelper.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
DeleteFile('D:\Program Files\WebMoney Advisor\WMPlugin.dll');
DeleteFile('D:\WINDOWS\System32\lanmandrv.sys');
DeleteFile('D:\WINDOWS\system32\Drivers\Winch05.sys');
DeleteFile('D:\WINDOWS\system32\DRIVERS\tansgt.sys');
DeleteFile('D:\Downloads\kis.v8.0.0.357\ie_updates3r.exe');
DeleteFile('D:\WINDOWS\System32\Drivers\Puy51.sys');
DeleteFile('D:\WINDOWS\system32\Drivers\Tetri5.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winaf50.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Windi26.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winej27.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winfk37.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winin05.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winin83.sys');
DeleteFile('D:\WINDOWS\System32\Drivers\Winsx15.sys');
DeleteFile('D:\WINDOWS\System32\KernelDrv.exe');
DeleteFile('D:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('D:\WINDOWS\msvupdater.exe');
DeleteFile('D:\WINDOWS\services.exe');
DeleteFile('D:\WINDOWS\system32\blphcg7lj0ee0o.scr');
DeleteFile('WinCtrl32.dll');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP383\A0477645.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0477912.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0478774.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0479751.sys');
DeleteFile('D:\System Volume Information\_restore{F9821B62-2F4B-4788-ABA8-FE2C9FD4D9E5}\RP384\A0480749.sys');
DeleteFile('D:\WINDOWS\system32\lanmandrv.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Пункты 2-4 выполнять подряд, без промежуточных перезагрузок, при отключенном интернете и антивирусе.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=25402[/url]
________________
После всего этого сделайте логи снова.
27.06.2008, 01:04
ImmortalVampire

Не открывается IceSword, выдает ошибку "Initialize failed, error code:1." Получается открыть только IceHelper, но там что-то со шрифтами, везде знаки вопроса. А когда открываю файлы с расширением .chm тоже что-то со шрифтами, какие-то китайские иероглифы.
27.06.2008, 08:12
Kuzz

Тогда выполняйте все остальное.
27.06.2008, 14:10
ImmortalVampire

Вложений: 3

Все осталось по прежнему. :( Карантин загрузил, логи прилагаю.
27.06.2008, 14:22
Kuzz

Попробуйте вместо IceSword применить [url=http://www.gmer.net/gmer.zip]Gmer[/url]
Все остальное - как в [url]http://virusinfo.info/showpost.php?p=247243&postcount=2[/url]
27.06.2008, 15:30
ImmortalVampire

Вложений: 3

Ну вроде бы все, в процессах ничего нет, но на рабочем столе осталось "Warning! Spyware detected on your computer!". Логи приложил.
27.06.2008, 15:43
Kuzz

Остался WebMoney Advisor - это адварь.
Если нет возможности деинсталлировать его, то мы можем написать скрипт.

А пока выполните:
[CODE]begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/CODE]
27.06.2008, 16:01
ImmortalVampire

[quote=Kuzz;247541]Остался WebMoney Advisor - это адварь.
Если нет возможности деинсталлировать его, то мы можем написать скрипт.
end.[/code][/quote]
Напишите пожалуйста, в установке и удалении программ жму "удалить" возле него, никак не реагирует. С рабочим столом все нормально.
27.06.2008, 16:17
Kuzz

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
DelBHO('{3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840}');
DeleteFile('D:\Program Files\WebMoney Advisor\wmadvisor.dll');
end.[/CODE]

2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
R3 - URLSearchHook: (no name) - {3FC0460E-A9D3-40C2-878B-CFA16C6E1262} - (no file)
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O2 - BHO: VirtualNetwork module - {6C517674-DE1C-4493-977C-34A1BFAB35BA} - (no file)
O2 - BHO: (no name) - {7D593456-CE40-4F17-921B-8717A3BBB60E} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - D:\Program Files\WebMoney Advisor\wmadvisor.dll (file missing)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Program Files\ICQLite\ICQLite.exe (file missing)
[/CODE]

Это знаете что такое?
O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab
27.06.2008, 16:53
ImmortalVampire

Все сделал. Большое спасибо за все.
[quote=Kuzz;247576]
Это знаете что такое?
O16 - DPF: {AFDF828B-490E-43C4-A92C-BCC6D482C770} - hттp://cash4action.com/plugin/Cash4Action.cab[/quote]
Не знаю.
27.06.2008, 17:07
Kuzz

На ВТ на этот файл никто не ругнулся. Будем считать чистым.

Портал интересует Ваше мнение о помощи в разделе "Помогите"
Особенно это:
[quote=anton_dr;202455]
И, пока Вы ещё здесь, нам важно ваше мнение.
Всё ли Вам было понятно?
Устраивает ли Вас форма, в которой проходило лечение?
Нашли ли Вы полезные материалы у нас?
Чего, по Вашему мнению, нам не хватает?[/quote]
Вы можете его высказать в теме [url= http://virusinfo.info/showthread.php?t=19883]Скажи, что ты думаешь о Virusinfo[/url]
22.02.2009, 06:12
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:AdTool.Win32.BitAccelerator.m[/B] (DrWEB: Trojan.BitAcc.8)[*] d:\\windows\\msvupdater.exe - [B]Trojan-Downloader.Win32.Cntr.by[/B] (DrWEB: Trojan.Packed.555)[*] d:\\windows\\services.exe - [B]Trojan.Win32.Agent.ryg[/B] (DrWEB: Trojan.Packed.573)[*] d:\\windows\\system32\\lanmandrv.sys - [B]Trojan.Win32.Agent.kcr[/B] (DrWEB: Trojan.NtRootKit.1245)[*] d:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.aij[/B] (DrWEB: Trojan.DownLoader.63553)[/LIST][/LIST]