всё те же Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
Printable View
всё те же Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
[b]Отключите восстановление системы![/b]
На время выполнения фикса и скрипта отключите интернет и антивирус.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=explorer.exe C:\WINDOWS\System32\svohost.exe
O4 - HKLM\..\Run: [lphc5hsj0e39r] C:\WINDOWS\System32\lphc5hsj0e39r.exe
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Games\ICQLite51\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - D:\Games\ICQLite51\ICQLite.exe (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\svohost.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpt50.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\lphc5hsj0e39r.exe','');
DeleteFile('C:\WINDOWS\System32\blphc5hsj0e39r.scr');
DeleteFile('C:\WINDOWS\System32\lphc5hsj0e39r.exe');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpt50.sys');
DeleteFile('C:\WINDOWS\System32\svohost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('Winpt50');
BC_DeleteSvc('WZCSVCWZCSVC');
BC_DeleteSvc('WZCSVCdmadmin');
BC_DeleteSvc('VSSTrkWksALGCiSvc');
BC_DeleteSvc('VSSTrkWksALG');
BC_DeleteSvc('upnphostALGAudioSrv');
BC_DeleteSvc('TrkWksTapiSrv');
BC_DeleteSvc('TrkWksALG');
BC_DeleteSvc('ThemesShellHWDetection');
BC_DeleteSvc('ThemesMSIServer');
BC_DeleteSvc('ThemesAudioSrvSCardDrvWmdmPmSN');
BC_DeleteSvc('ThemesAudioSrvERSvcHidServ');
BC_DeleteSvc('ThemesAudioSrvERSvc');
BC_DeleteSvc('ThemesAudioSrvAlerter');
BC_DeleteSvc('ThemesAudioSrv');
BC_DeleteSvc('TermServiceSharedAccessCiSvc');
BC_DeleteSvc('SSDPSRVUMWdf');
BC_DeleteSvc('SSDPSRVRSVPEventlogseclogonNtLmSsp');
BC_DeleteSvc('SSDPSRVRSVP');
BC_DeleteSvc('SSDPSRVRDSessMgr');
BC_DeleteSvc('SpoolerNtLmSspRasMan');
BC_DeleteSvc('SharedAccessCiSvc');
BC_DeleteSvc('SENSNtmsSvc');
BC_DeleteSvc('SchedulePlugPlay');
BC_DeleteSvc('SCardSvrFastUserSwitchingCompatibility');
BC_DeleteSvc('SCardDrvWmdmPmSN');
BC_DeleteSvc('SCardDrvThemesAudioSrvERSvcHidServ');
BC_DeleteSvc('RpcSsClipSrv');
BC_DeleteSvc('RpcLocatorVSSTrkWksALGCiSvc');
BC_DeleteSvc('RemoteAccessNetlogon');
BC_DeleteSvc('RemoteAccessNetDDEdsdm');
BC_DeleteSvc('RasAutoSCardSvr');
BC_DeleteSvc('ProtectedStorageTrkWks');
BC_DeleteSvc('PlugPlayRemoteAccessNetDDEdsdm');
BC_DeleteSvc('PlugPlayPolicyAgent');
BC_DeleteSvc('NtmsSvcWebClient');
BC_DeleteSvc('NtLmSspRasMan');
BC_DeleteSvc('NtLmSspRasAuto');
BC_DeleteSvc('NetmanWZCSVC');
BC_DeleteSvc('NetmanWmdmPmSNTrkWks');
BC_DeleteSvc('NetmanWmdmPmSN');
BC_DeleteSvc('NetlogonWZCSVC');
BC_DeleteSvc('MSDTCRpcSs');
BC_DeleteSvc('LmHostsSENSNtmsSvc');
BC_DeleteSvc('LmHostsClipSrv');
BC_DeleteSvc('lanmanserverClipSrv');
BC_DeleteSvc( 'kavsvclanmanserverSCardSvrFastUserSwitchingCompatibility');
BC_DeleteSvc('kavsvclanmanserverCOMSysApp');
BC_DeleteSvc('kavsvclanmanserver');
BC_DeleteSvc('EventlogseclogonNtLmSsp');
BC_DeleteSvc('Eventlogseclogon');
BC_DeleteSvc('dmserverTapiSrvEventSystem');
BC_DeleteSvc('dmserverTapiSrv');
BC_DeleteSvc('CryptSvchelpsvc');
BC_DeleteSvc('AudioSrvSENSNtmsSvc');
BC_DeleteSvc('ALGAudioSrv');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=29099[/url]).
Сделайте новые логи.
карантин отправил
новые логи
Лечение прошло успешно. Для зачистки оставшихся следов -
Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('WmiApSrvTrkWks');
BC_DeleteSvc('NetmanWmdmPmSNLmHostsClipSrv');
BC_DeleteSvc('NetlogonNetDDE');
BC_Activate;
RebootWindows(true);
end.[/code]
Вот это у вас очень плохо:
[quote]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
[/quote]
Настоятельно рекомендуется обновить систему до SP3.
выполнил
при входе в Windows ненадолго всё-таки появляется эта надпись
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
по-прежнему при входе в windows ненадолго появляется надпись
[QUOTE=IAMDR;275791]по-прежнему при входе в windows ненадолго появляется надпись[/QUOTE]Попробуйте почистить реестр напр. CCleaner.
выполнил очистку,окно по-прежнему появляется
как это ещё можно исправить?
по сути же зараза была удалена?
Скачайте Malwarebytes Antimalware, скан, ничего не удалять, лог -в студию.
выполнил
[QUOTE=IAMDR;276149]
как это ещё можно исправить?[/QUOTE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
проблема устранена,большое спасибо!
нужно ли удалять заражённые файлы найденные Malwarebytes Antimalware?
[QUOTE=IAMDR;276777]проблема устранена,большое спасибо!
нужно ли удалять заражённые файлы найденные Malwarebytes Antimalware?[/QUOTE]Да, спасибо :)
REMEMBER!!!
[QUOTE=Bratez;275544]
[B]Настоятельно рекомендуется обновить систему до SP3[/B].[/QUOTE]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\lphc5hsj0e39r.exe - [B]Backdoor.Win32.Agent.qfj[/B] (DrWEB: Trojan.Packed.619)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.azv[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]