На рабочем столе окно с надписью "Warning! Spyware detected on your computer!"
Warning! Win32/Adware.Virtumonde
Detected on your computer
Warning! Win32/PrivacyRemover.M64
Detected on your computer
Printable View
На рабочем столе окно с надписью "Warning! Spyware detected on your computer!"
Warning! Win32/Adware.Virtumonde
Detected on your computer
Warning! Win32/PrivacyRemover.M64
Detected on your computer
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O4 - HKLM\..\Run: [Windows Monitor] winmon.exe
O4 - HKLM\..\Run: [Microsoft media services] Iassd.exe
O4 - HKLM\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKLM\..\RunServices: [Microsoft media services] Iassd.exe
O4 - HKCU\..\Run: [Windows Monitor] winmon.exe
O4 - HKCU\..\Run: [SVCHOST.EXE] C:\WINDOWS\system32\drivers\svchost.exe
O4 - HKCU\..\RunServices: [Windows Monitor] winmon.exe
O4 - HKUS\S-1-5-18\..\RunServices: [Windows Monitor] winmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunServices: [Windows Monitor] winmon.exe (User 'Default user')
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AccessSharing');
QuarantineFile('D:\program files\mysql\bin\mysqld-max-nt','');
QuarantineFile('C:\WINDOWS\system\wcntfysvc.exe','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\system\wcntfysvc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('AccessSharing');
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 2[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Прикрепляю файлы. Все кажется пофиксилось.
Вы бы как-то с защитой Вашей разобрались: Допотопный Каспер+Остатки Симантека+ Трендмикро. Поудаляйте ненужное.
[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKUS\S-1-5-18\..\Run: [Windows Monitor] winmon.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [Windows Monitor] winmon.exe (User 'Default user')
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('D:\program.exe','');
QuarantineFile('c:\Temp\ktalk.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
Повторите логи начиная от пункта 10 правил.
Вот.
[QUOTE=Зебра;273380]Вот.[/QUOTE]Карантин закачали? В принципе кроме этих 2-х файлов - ничего плохого не видать. Если Вы их не знаете, нужно подождать результаты анализа из Вирлаба. Загляните ближе к вечеру или завтра в течение дня и напомните о себе.
В любом случае рекомендуется поставить Сервис Пак 3. После установки [I]возможно[/I] потребуется активация системы.
Карантин закачала по ссылке. СП3 поставлю обязательно. Файлы эти не знаю, подожду конечно результаты анализа из Вирлаба. Спасибо!
Результатов не было?
[QUOTE]svchost.exe_ - Trojan-Downloader.Win32.Small.aces
Детектирование файла будет добавлено в следующее обновление.[/QUOTE]
1. Запуститесь с дистрибутива.
2. При загрузке давите на клавишу R. Попадете в косоль восстановления.
3. На приглашение введите строку:
[CODE]copy C:\i386\svchost.exe C:\WINDOWS\system32\svchost.exe[/CODE]
Переписывание подтвердите
4. Выйдите из консоли восстановления комадой exit + клавиша ВВОД.
5. Загрузитесь нормально.
Сделайте 3 лога по правилам.
логи
[QUOTE=Зебра;274642]логи[/QUOTE]Сейчас чисто. Какие проблемы наблюдаете? Насчет Сервис Пака не забудьте ;)
Давайте еще этих удалим. Они не троянцы, но и не нужны никому
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Скриптик выполнила. СП3 поставила. Жалоб нет. Полет нормальный. :D
Логи прикрепила. Не знаю нужно ли было, так, на всякий случай.
[QUOTE=Зебра;276008]
Логи прикрепила. Не знаю нужно ли было, так, на всякий случай.[/QUOTE]Что, понравилось логи делать? :D
ага, да.
вобщем я так понимаю я могу спать спокойно.
спасибо за помощь!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\svchost.exe - [B]Trojan-Downloader.Win32.Small.aces[/B] (DrWEB: Trojan.DownLoader.59802)[/LIST][/LIST]