И снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64

Вложений: 3

Здравствуйте. Сделал все по инструкции. Посмотрите пожалуйста.
Заранее благодарю.

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS.0\system32\WinCtrl32.dll
C:\WINDOWS.0\system32\WinCtrl32.bak
C:\WINDOWS.0\system32\WinCtrl32.dl_
C:\WINDOWS.0\system32\WinDat.cab
C:\WINDOWS.0\System32\Drivers\Windi04.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('AdobeSchedule');
DeleteService('AppMgmt Tomcat 4.1');
DeleteService('AppMgmtMSIServer');
DeleteService('AudioSrvUPS');
DeleteService('CiSvcSharedAccess');
DeleteService('DhcpNetDDE');
DeleteService('DhcpSysmonLogWmdmPmSN');
DeleteService('ERSvcERSvc');
DeleteService('Eventlogstisvc');
DeleteService('EventlogstisvcstisvcTrkWks');
DeleteService('EventlogstisvcW32Time');
DeleteService('HidServPolicyAgent');
DeleteService('HTTPFilterNetlogon');
DeleteService('Irmon Tomcat 4.1');
DeleteService('LexBceSose');
DeleteService('LexBceSRasManALG');
DeleteService('MessengerDcomLaunch');
DeleteService('MSDTCNtmsSvc');
DeleteService('Netlogon Tomcat 4.1');
DeleteService('NetmanTermService');
DeleteService('NlaDnscache');
DeleteService('NlastisvcTrkWks');
DeleteService('ProtectedStorageSharedAccesssrservice');
DeleteService('RasAutoVSS');
DeleteService('RasAutoVSSRasAuto');
DeleteService('RasManALG');
DeleteService('RDSessMgrImpactMySQL');
DeleteService('RDSessMgrImpactMySQLNetDDEdsdm');
DeleteService('RemoteAccessupnphost');
DeleteService('SharedAccesssrservice');
DeleteService('stisvcTrkWks');
DeleteService('SwPrvNetDDEdsdm');
DeleteService('SwPrvWZCSVC');
DeleteService('SysmonLogWmdmPmSN');
DeleteService('TermServiceImpactMySQL');
DeleteService('VSSgusvc');
DeleteService('VSSRasManALG');
DeleteService('winmgmtFastUserSwitchingCompatibility');
DeleteService('wuauserv Tomcat 4.1');
DeleteService('wuauservRemoteRegistry');
DeleteService('wuauservseclogon');
DeleteService('Windi04');
DeleteService('Jou84');
DeleteService('Winua04');
DeleteService('Winty40');
DeleteService('Wintb62');
DeleteService('Winsx27');
DeleteService('Winrw51');
DeleteService('Winqv83');
DeleteService('Winpu38');
DeleteService('Winns72');
DeleteService('Winmr04');
DeleteService('Winkp83');
DeleteService('Winhm51');
DeleteService('Wingl38');
DeleteService('Winfk62');
DeleteService('Winej51');
DeleteService('Winch72');
DeleteService('Winaf37');
DeleteService('Winaf05');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winaf05.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winfk62.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wingl38.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winhm51.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winkp83.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winmr04.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winns72.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winpu38.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winqv83.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winrw51.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winsx27.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Wintb62.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winty40.sys','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Winua04.sys','');
QuarantineFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr','');
QuarantineFile('C:\WINDOWS.0\system32\WinCtrl32.dll','');
DelBHO('{52D55692-62EB-406D-915C-6B018307B682}');
QuarantineFile('C:\WINDOWS.0\system32\advapi3.dll','');
QuarantineFile('C:\WINDOWS.0\system32\advapi3.dll_','');
DeleteFile('C:\WINDOWS.0\system32\advapi3.dll_');
DeleteFile('C:\WINDOWS.0\system32\advapi3.dll');
DeleteFile('C:\WINDOWS.0\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winua04.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winty40.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Wintb62.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winsx27.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winrw51.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winqv83.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winpu38.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winns72.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winmr04.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winkp83.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winhm51.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Wingl38.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winfk62.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winej51.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winch72.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winaf37.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Winaf05.sys');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('AdobeSchedule');
BC_DeleteSvc('AppMgmt Tomcat 4.1');
BC_DeleteSvc('AppMgmtMSIServer');
BC_DeleteSvc('AudioSrvUPS');
BC_DeleteSvc('CiSvcSharedAccess');
BC_DeleteSvc('DhcpNetDDE');
BC_DeleteSvc('DhcpSysmonLogWmdmPmSN');
BC_DeleteSvc('ERSvcERSvc');
BC_DeleteSvc('Eventlogstisvc');
BC_DeleteSvc('EventlogstisvcstisvcTrkWks');
BC_DeleteSvc('EventlogstisvcW32Time');
BC_DeleteSvc('HidServPolicyAgent');
BC_DeleteSvc('HTTPFilterNetlogon');
BC_DeleteSvc('Irmon Tomcat 4.1');
BC_DeleteSvc('LexBceSose');
BC_DeleteSvc('LexBceSRasManALG');
BC_DeleteSvc('MessengerDcomLaunch');
BC_DeleteSvc('MSDTCNtmsSvc');
BC_DeleteSvc('Netlogon Tomcat 4.1');
BC_DeleteSvc('NetmanTermService');
BC_DeleteSvc('NlaDnscache');
BC_DeleteSvc('NlastisvcTrkWks');
BC_DeleteSvc('ProtectedStorageSharedAccesssrservice');
BC_DeleteSvc('RasAutoVSS');
BC_DeleteSvc('RasAutoVSSRasAuto');
BC_DeleteSvc('RasManALG');
BC_DeleteSvc('RDSessMgrImpactMySQL');
BC_DeleteSvc('RDSessMgrImpactMySQLNetDDEdsdm');
BC_DeleteSvc('RemoteAccessupnphost');
BC_DeleteSvc('SharedAccesssrservice');
BC_DeleteSvc('stisvcTrkWks');
BC_DeleteSvc('SwPrvNetDDEdsdm');
BC_DeleteSvc('SwPrvWZCSVC');
BC_DeleteSvc('SysmonLogWmdmPmSN');
BC_DeleteSvc('TermServiceImpactMySQL');
BC_DeleteSvc('VSSgusvc');
BC_DeleteSvc('VSSRasManALG');
BC_DeleteSvc('winmgmtFastUserSwitchingCompatibility');
BC_DeleteSvc('wuauserv Tomcat 4.1');
BC_DeleteSvc('wuauservRemoteRegistry');
BC_DeleteSvc('wuauservseclogon');
BC_DeleteSvc('Windi04');
BC_DeleteSvc('Jou84');
BC_DeleteSvc('Winua04');
BC_DeleteSvc('Winty40');
BC_DeleteSvc('Wintb62');
BC_DeleteSvc('Winsx27');
BC_DeleteSvc('Winrw51');
BC_DeleteSvc('Winqv83');
BC_DeleteSvc('Winpu38');
BC_DeleteSvc('Winns72');
BC_DeleteSvc('Winmr04');
BC_DeleteSvc('Winkp83');
BC_DeleteSvc('Winhm51');
BC_DeleteSvc('Wingl38');
BC_DeleteSvc('Winfk62');
BC_DeleteSvc('Winej51');
BC_DeleteSvc('Winch72');
BC_DeleteSvc('Winaf37');
BC_DeleteSvc('Winaf05');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Вложений: 3

все сделал

(увы, но кроме вирусов нада еще и работать :) )

[URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]
C:\WINDOWS.0\System32\Drivers\Windi04.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Windi04');
DeleteService('lanmanworkstationNetDDEdsdm');
QuarantineFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr','');
QuarantineFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys','');
DeleteFile('C:\WINDOWS.0\System32\Drivers\Windi04.sys');
DeleteFile('C:\WINDOWS.0\system32\blphceb1j0e525.scr');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Windi04');
BC_DeleteSvc('lanmanworkstationNetDDEdsdm');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Вложений: 3

посмотрите пожалуйста

Windi04.sys не найден

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
Если записи в hosts делали не Вы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(13);
RebootWindows(true);
end.
[/CODE]
Больше ничего плохого не видно.
Сервис Пак 3 поставьте, возможно потребуется активация системы.