Добрый день.
Я поймал Win32/Adware.Virtumonde в компании с Win32/PrivacyRemover.M64. Об этом я узнал из картинке на десктопе, сменившей картинку, которая у меня стояла раньше.
В общем, наверное, все как у всех.
Заранее спасибо.
Printable View
Добрый день.
Я поймал Win32/Adware.Virtumonde в компании с Win32/PrivacyRemover.M64. Об этом я узнал из картинке на десктопе, сменившей картинку, которая у меня стояла раньше.
В общем, наверное, все как у всех.
Заранее спасибо.
Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\drivers\Wincj86.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\System32\drivers\Wincj86.sys');
DeleteFile('C:\WINDOWS\system32\blphcae9j0ev5e.scr');
DeleteFile('C:\WINDOWS\system32\drivers\Winio17.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Winpw07');
BC_DeleteSvc('Winou74');
BC_DeleteSvc('Windk42');
BC_DeleteSvc('Winbi53');
BC_DeleteSvc('TrkWksNetDDEdsdm');
BC_DeleteSvc('ThemesSpooler');
BC_DeleteSvc('TermServicehelpsvc');
BC_DeleteSvc('Spooler LM Service');
BC_DeleteSvc('dmadminCiSvc');
BC_DeleteSvc('AppMgmtShellHWDetection');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=29191[/url]).
Сделайте новые логи, начиная с п.10 правил.
Выполнил скрипт, и картинка исчезла с десктопа.
Не могу понять одного - у меня в карантине две папки, датированные разными числами (видимо из-за того, что сканирование проводилось до полуночи и после нее). Какой архив с карантином Вам выслать, более ранний или более поздний?
Все остальное прикладываю к сообщению.
1. До выполнения следующих пунктов пришлите карантин с последней датой.
2. Пофиксите в HijackThis:
[code]
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/code]
3. Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\test.com','');
DeleteFile('C:\Program Files\test.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winnu63');
BC_DeleteSvc('W32TimeRasMan');
BC_DeleteSvc('SwPrvMessenger');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
4. Пришлите новый карантин согласно приложению 3 правил.
5. Сделайте новые логи, начиная с п.10 правил.
Сделал.
В карантине, кажется, только test.com - он же переименованный hijackthis.
Как дальше?
[quote=summoner;276429]test.com - он же переименованный hijackthis.
[/quote]
Предупреждать надо! :D
Больше ничего подозрительного нет.
Как самочувствие пациента?
Спасибо еще раз - все вернулось на свои места еще после первого скрипта.
Как жить дальше? :?
[quote=summoner;276446]Как жить дальше? :?[/quote]
Долго и счастливо ;).
Я бы советовал сменить антивирус на что-нибудь более эффективное.
попробую поставить drweb, хотя я уже морально готов сменить виндоус на какой-нибудь дистрибутив линукс.
[QUOTE=summoner;276457] готов сменить виндоус на какой-нибудь дистрибутив линукс.[/QUOTE]
ну не знаю ...
если вам тяжело настроить вин то лин менее дружелюбен к пользователю ... а червей троянов и хакеров там никто не отменял ... ;)
или был указ президента ? а я пропустил ?
да, но, насколько мне известно, их все же меньше. и этот мой постинг - первый случай, когда я не смог изжить зловреда. а когда я увидел присланные мне скрипты, то понял, где прокололся в случае с adware.virtumonde и privacypemover'ом. впредь наука.
тем более, у меня есть желание разбираться в *nix. на то есть масса разных причин, и президентский указ в их число не входит.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\wincj86.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.azr[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]