Win32/Adware.Virtnmonde и Win32/PrivacyRemover.M64

Добрый день. Словил этот вирус, симптомы: картинка Warning на весь стол, не работающие вкладки в настройках вида рабочего стола.
Прошу Вашей помощи.
Заранее благодарен.
Логи прилагаються.

ап

Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
[code]
Begin
ClearQuarantine;
SetAVZGuardStatus(True);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
DeleteService('wscsvcSpooler');
DeleteService('WmdmPmSNThemesRpcLocatorWmi');
DeleteService('WmdmPmSNThemesRpcLocator');
DeleteService('WmdmPmSNThemes');
DeleteService('upnphostMessenger');
DeleteService('upnphostdmadminSchedule');
DeleteService('TlntSvrDhcp');
DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphostdmserverCryptSvcwinmgmtupnphost');
DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphost');
DeleteService('SCardSvrWinVNC4');
DeleteService('RemoteRegistrySpooler');
DeleteService('RasAutoAudioSrv');
DeleteService('PolicyAgentCryptSvcwinmgmt');
DeleteService('NlaAudioSrv');
DeleteService('NetlogonTlntSvr');
DeleteService('napagentRasMan');
QuarantineFile('srv.exe','');
DeleteService('MDMSamSs');
DeleteService('lanmanworkstationProtectedStorage');
DeleteService('HTTPFilterDot3svc');
DeleteService('HidServNetlogon');
DeleteService('helpsvcCOMSysApp');
DeleteService('FastUserSwitchingCompatibilitystisvc');
DeleteService('dmserverCryptSvcwinmgmtupnphostImapiService');
DeleteService('dmserverCryptSvcwinmgmtupnphost');
DeleteService('dmadminSchedule');
DeleteService('CryptSvcwinmgmtupnphostSENS');
DeleteService('CryptSvcwinmgmtupnphost');
DeleteService('CryptSvcwinmgmt');
DeleteService('ClipSrvMSDTC');
DeleteService('CiSvcHidServNetlogon');
DeleteService('Browserhelpsvc');
DeleteService('AudioSrvALG');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
SysCleanAddFile('C:\WINDOWS\system32\blphc9djj0el8j.scr');
SysCleanAddFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
Компьютер перезагрузится.
Пришлите то, что попадет в карантин так, как написано в приложении 3 Правил, используя ссылку:
[url]http://virusinfo.info/upload_virus.php?tid=29135[/url]

Сделайте новые логи начиная с 10-го пункта Правил и приложите их к этой теме.

Вроде полегчало:), на рабочем столе исчезла Варнинг, и вкладки появились. Но при загрузке на входе в систему еще висит изображение Варнинг. Карантиновые файлы выслал...

[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]

Как мне уту заразу добить?

[size="1"][color="#666686"][B][I]Добавлено через 26 минут[/I][/B][/color][/size]

up

Ждем ваши новые логи.

Извеняюсь, замечтался... Вот логи

[QUOTE=Евгений Каюков;275778]Извеняюсь, замечтался... Вот логи[/QUOTE][B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не запущен Интернет Эксплорер.
- Не выключен установленный антивирус.[/COLOR]

Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.[/B]
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wscsvcSpooler');
DeleteService('WmdmPmSNThemesRpcLocatorWmi');
DeleteService('WmdmPmSNThemesRpcLocator');
DeleteService('WmdmPmSNThemes');
DeleteService('upnphostMessenger');
DeleteService('upnphostdmadminSchedule');
DeleteService('TlntSvrDhcp');
DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphostdmserverCryptSvcwinmgmtupnphost');
DeleteService('SSDPSRVdmserverCryptSvcwinmgmtupnphost');
DeleteService('SCardSvrWinVNC4');
DeleteService('RemoteRegistrySpooler');
DeleteService('RasAutoAudioSrv');
DeleteService('PolicyAgentCryptSvcwinmgmt');
DeleteService('NlaAudioSrv');
DeleteService('NetlogonTlntSvr');
DeleteService('napagentRasMan');
DeleteService('MDMSamSs');
DeleteService('lanmanworkstationProtectedStorage');
DeleteService('HTTPFilterDot3svc');
DeleteService('HidServNetlogon');
DeleteService('helpsvcCOMSysApp');
DeleteService('FastUserSwitchingCompatibilitystisvc');
DeleteService('dmserverCryptSvcwinmgmtupnphostImapiService');
DeleteService('dmserverCryptSvcwinmgmtupnphost');
DeleteService('dmadminSchedule');
DeleteService('CryptSvcwinmgmtupnphostSENS');
DeleteService('CryptSvcwinmgmtupnphost');
DeleteService('CryptSvcwinmgmt');
DeleteService('ClipSrvMSDTC');
DeleteService('CiSvcHidServNetlogon');
DeleteService('Browserhelpsvc');
DeleteService('AudioSrvALG');
BC_ImportAll;
ExecuteSysClean; DeleteService('wscsvcSpooler');
BC_DeleteSvc('WmdmPmSNThemesRpcLocatorWmi');
BC_DeleteSvc('WmdmPmSNThemesRpcLocator');
BC_DeleteSvc('WmdmPmSNThemes');
BC_DeleteSvc('upnphostMessenger');
BC_DeleteSvc('upnphostdmadminSchedule');
BC_DeleteSvc('TlntSvrDhcp');
BC_DeleteSvc('SSDPSRVdmserverCryptSvcwinmgmtupnphostdmserverCryptSvcwinmgmtupnphost');
BC_DeleteSvc('SSDPSRVdmserverCryptSvcwinmgmtupnphost');
BC_DeleteSvc('SCardSvrWinVNC4');
BC_DeleteSvc('RemoteRegistrySpooler');
BC_DeleteSvc('RasAutoAudioSrv');
BC_DeleteSvc('PolicyAgentCryptSvcwinmgmt');
BC_DeleteSvc('NlaAudioSrv');
BC_DeleteSvc('NetlogonTlntSvr');
BC_DeleteSvc('napagentRasMan');
BC_DeleteSvc('MDMSamSs');
BC_DeleteSvc('lanmanworkstationProtectedStorage');
BC_DeleteSvc('HTTPFilterDot3svc');
BC_DeleteSvc('HidServNetlogon');
BC_DeleteSvc('helpsvcCOMSysApp');
BC_DeleteSvc('FastUserSwitchingCompatibilitystisvc');
BC_DeleteSvc('dmserverCryptSvcwinmgmtupnphostImapiService');
BC_DeleteSvc('dmserverCryptSvcwinmgmtupnphost');
BC_DeleteSvc('dmadminSchedule');
BC_DeleteSvc('CryptSvcwinmgmtupnphostSENS');
BC_DeleteSvc('CryptSvcwinmgmtupnphost');
BC_DeleteSvc('CryptSvcwinmgmt');
BC_DeleteSvc('ClipSrvMSDTC');
BC_DeleteSvc('CiSvcHidServNetlogon');
BC_DeleteSvc('Browserhelpsvc');
BC_DeleteSvc('AudioSrvALG');
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17)
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Все сделал как написали. Вот логи.
Карантиновые файлы скинул.

Заранее благодарен.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wscsvcSpooler');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wscsvcSpooler');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

Заранее благодарен за ответ.

В логах чисто.
Джаву обновить надо.
Какие еще проблемы?

Вроде Все, спасибо за оперативность. Респект Вам и уважуха!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.azm[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]