Win32 Virtumonde + Win32 PrivacyRemover M64

Printable View

29.08.2008, 03:01
katykova

Win32 Virtumonde + Win32 PrivacyRemover M64

Не буду оригинальной: все та же зараза... Очень нужна ваша помощь!

[URL]http://ifolder.ru/7897902[/URL]
29.08.2008, 03:37
Bratez

Отключив интернет и антивирус, выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\svch16.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\blphc37uj0e1e9.scr');
DeleteFile('C:\WINDOWS\system32\svch16.dll');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winej38');
BC_DeleteSvc('Winbg84');
BC_DeleteSvc('PavSRK.sys');
BC_DeleteSvc('WZCSVCICF');
BC_DeleteSvc('WudfSvcWZCSVCSwPrvPolicyAgent');
BC_DeleteSvc('WudfSvcWZCSVC');
BC_DeleteSvc('WudfSvcFastUserSwitchingCompatibilityRpcLocator');
BC_DeleteSvc('WudfSvcFastUserSwitchingCompatibility');
BC_DeleteSvc('wuauservsp_clamsrvDnscache');
BC_DeleteSvc('wuauservsp_clamsrv');
BC_DeleteSvc('WmdmPmSNPlugPlay');
BC_DeleteSvc('winmgmtTrkWks');
BC_DeleteSvc('W32Timesp_rssrv');
BC_DeleteSvc('W32TimeRasMan');
BC_DeleteSvc('TlntSvrHTTPFilter');
BC_DeleteSvc('ThemesNetDDE');
BC_DeleteSvc('TapiSrvclr_optimization_v2.0.50727_32');
BC_DeleteSvc('SwPrvPolicyAgent');
BC_DeleteSvc('SSDPSRVEventlog');
BC_DeleteSvc('srserviceBthServwscsvcEventlog');
BC_DeleteSvc('srserviceBthServwscsvc');
BC_DeleteSvc('SpoolerTermService');
BC_DeleteSvc('ShellHWDetectionbtwdins');
BC_DeleteSvc('SamSsSCardSvrSwPrvPolicyAgent');
BC_DeleteSvc('SamSsSCardSvr');
BC_DeleteSvc('RpcSsSysmonLog');
BC_DeleteSvc('RpcSsFastUserSwitchingCompatibilityRemoteAccess');
BC_DeleteSvc('RemoteRegistryWebClient');
BC_DeleteSvc('RDSessMgrBthServwscsvc');
BC_DeleteSvc('RasAutoNetman');
BC_DeleteSvc('PolicyAgentDnscache');
BC_DeleteSvc('NtmsSvcSysmonLog');
BC_DeleteSvc('NtLmSsp Studio Analyzer RPC bridge');
BC_DeleteSvc('NlaSchedule');
BC_DeleteSvc('NlaNetDDE');
BC_DeleteSvc('NetSvcShellHWDetectionbtwdins Agent Service (default)');
BC_DeleteSvc('NetSvcShellHWDetectionbtwdins');
BC_DeleteSvc('NetSvcaspnet_state');
BC_DeleteSvc('NetDDEThemesVSS');
BC_DeleteSvc('NetDDEThemes');
BC_DeleteSvc('NetDDESSDPSRV');
BC_DeleteSvc('NetDDESCardSvr');
BC_DeleteSvc('NetDDEdsdmTrkWks');
BC_DeleteSvc('MessengerScheduledmserver');
BC_DeleteSvc('MessengerSchedule');
BC_DeleteSvc('MessengerNetDDEThemes');
BC_DeleteSvc('HidServNetmanWudfSvcFastUserSwitchingCompatibility');
BC_DeleteSvc('HidServNetman');
BC_DeleteSvc('helpsvcstisvc');
BC_DeleteSvc('Gpcteassdd');
BC_DeleteSvc('FastUserSwitchingCompatibilityRemoteAccess');
BC_DeleteSvc('DnscacheNlaHidServNetman');
BC_DeleteSvc('DnscacheNla');
BC_DeleteSvc('DnscacheGpcteassdd');
BC_DeleteSvc('Dnscache LM Service');
BC_DeleteSvc('COMSysApp Studio Analyzer RPC bridge');
BC_DeleteSvc('clr_optimization_v2.0.50727_32Eventlog');
BC_DeleteSvc('BthServwscsvc');
BC_DeleteSvc('Bthfpfap_xpa');
BC_DeleteSvc('aspnet_stateDcomLaunch');
BC_DeleteSvc('ALGRasAutoDcomLaunch');
BC_DeleteSvc('ALGRasAutoCCALib8');
BC_DeleteSvc('ALGRasAuto');
BC_DeleteSvc('sp_rssrvRpcLocatorWmi');
BC_DeleteSvc('sp_rssrvRpcLocatorclr_optimization_v2.0.50727_32Eventlog');
BC_DeleteSvc('sp_rssrvRpcLocator');
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=29195[/url]).
Сделайте новые логи, начиная с п.10 правил.
29.08.2008, 16:20
katykova

Вложений: 2

Спасибо, что откликнулись!!! Вот новые логи

[COLOR="Blue"]moderated:::логи по возможности прикрепляйте к сообщению. На файлообменник - только при проблемах с загрузкой стандартным путем.[/COLOR]
29.08.2008, 16:40
Bratez

С помощью Ice Sword, как написано здесь: [url]http://virusinfo.info/showthread.php?t=17228[/url],
удалите файлы:
C:\WINDOWS\SYSTEM32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winmr05.sys

Сразу после этого выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\SYSTEM32\WinCtrl32.dl_');
DeleteFile('C:\WINDOWS\system32\Drivers\Winmr05.sys');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winmr05');
BC_DeleteSvc('RemoteRegistryWebClientose');
BC_DeleteSvc('mnmsrvcTlntSvrHTTPFilter');
BC_DeleteSvc('sp_rssrvNtmsSvc');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи, начиная с п.10 правил.
Попробуйте все же прикрепить логи к сообщению.
29.08.2008, 17:00
katykova

Вложений: 2

По какой-то причине не работает именно подгрузка файлов... :(

Вынуждена отправлять все же через ifolder.ru...

[URL]http://ifolder.ru/7904973[/URL]

Еще у меня перед приветствием это предупреждение появляется, как я уже прочла ранее, у многих такое бывает... С этим тоже что-то можно сделать?
Большое спасибо!!!!!!
29.08.2008, 17:10
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.crawler.com/search/dispatcher.aspx?tp=aus&qkw=%s&tbid=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.crawler.com/search/ie.aspx?tb_id=60076
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = http://dnl.crawler.com/support/sa_customize.aspx?TbId=60076
R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
O2 - BHO: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - C:\PROGRA~1\Crawler\ctbr.dll
O2 - BHO: MyCentria Internet Mate v1.95 - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL
O3 - Toolbar: Ïàíåëü &Crawler - {4B3803EA-5230-4DC3-A7FC-33638F3D3542} - C:\PROGRA~1\Crawler\ctbr.dll
O15 - Trusted Zone: *.p0rt2.com
O18 - Protocol: tbr - {4D25FB7A-8902-4291-960E-9ADA051CFBBF} - C:\PROGRA~1\Crawler\ctbr.dll
O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 1[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('wscsvcTapiSrv');
DelBHO('{10954C80-4F0F-11d3-B17C-0055DF987022}');
DelBHO('{4B3803EA-5230-4DC3-A7FC-33638F3D3542}');
DelBHO('{1CB20BF0-BBAE-40A7-93F4-6435FF3D0411}');
DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
DeleteFile('C:\PROGRA~1\Crawler\ctbr.dll'); DeleteFile('mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('wscsvcTapiSrv');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт 2[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
RebootWindows(true);
end.
[/CODE]
После перезагрузки
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи [B]- 3 штуки -[/B] по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
29.08.2008, 18:50
katykova

Вложений: 3

Все сделала, как вы и рекомендовали. Единственное, не могу понять закачался карантин или нет, так как страница уж очень долго грузится...
Новые логи прикреплены. Спасибо!
29.08.2008, 19:56
Rene-gad

Сорри, начал писать Вам ответ - сервер опять обвалился.
Прежде всего выполните п.2 правил.

Потом

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R3 - URLSearchHook: (no name) - {1CB20BF0-BBAE-40A7-93F4-6435FF3D0411} - (no file)
O9 - Extra button: Отправить статью или интересную работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing)
O9 - Extra 'Tools' menuitem: Отправить свою статью или интересную чужую работу на [email protected] - {10954C80-4F0F-11d3-B17C-0055DF987022} - mailto:[email protected]?subject=I_want_to_send_you_article&body=Hello___Nikolay (file missing)
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\895042125.exe ','');
QuarantineFile('C:\WINDOWS\Temp\1251718920.exe','');
DeleteFile('C:\WINDOWS\Temp\895042125.exe ');
DeleteFile('C:\WINDOWS\Temp\1251718920.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
30.08.2008, 00:07
katykova

Вложений: 3

Четко следовала вашим рекомендациям. Высылаю еще раз новые логи.
Спасибо, что помогаете! :)
30.08.2008, 00:52
Rene-gad

В логах проблем не вижу.
Нужно поставить Сервис Пак 3, воэможно потребуется активация системы.

В некоторых Ваших файлах АВЗ нашел зловредные сигнатуры.
Это скорее всего ложняки.
Поэтому просьба (если не сложно):

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Компьютерная графика\Компьютерная графика.rar','');
QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Компьютерная графика\Курсовая\Реализации алгоритмов\Окружность - Брезенхем.exe','');
QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Компьютерная графика\Курсовая по КГ.rar','');
QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part1.rar','');
QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part2.rar','');
QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part3.rar','');
QuarantineFile('C:\Documents and Settings\Kat\My Documents\МИРЭА\Моделирование\Иришка\ИОиМО[1].part4.rar','');
BC_ImportAll;
RebootWindows(true);
end.
[/CODE]

После перезагрузки Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).

Спасибо.
30.08.2008, 20:16
katykova

Попыталась выполнить скрипт, но АВЗ выдает ошибку: [SIZE=2]
Ошибка скрипта: ';' expected, позиция [13:4]. По-моему в конце кода не хватает еще одного end...?:)
[/SIZE]
30.08.2008, 20:24
Rene-gad

[QUOTE=katykova;277141]Попыталась выполнить скрипт, но АВЗ выдает ошибку: [SIZE=2]
Ошибка скрипта: ';' expected, позиция [13:4]. По-моему в конце кода не хватает еще одного end...?:)
[/SIZE][/QUOTE]Там всего хватает. Я сейчас переписал скрипт и проверил синтаксис - должен сработать :) М.б. точка была из русского набора символов.
30.08.2008, 20:44
katykova

Спасибо! :) Все сделала и карантин выслала.
Хотела у вас еще узнать, а можно ли окончательно избавиться от этого противного предупреждения, которое появляется у меня перед приветствием? С рабочего стола оно исчезло, а при загрузке еще появляется...
30.08.2008, 20:46
Rene-gad

Спасибо за файлы :)
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
[/CODE]

Должно помочь :)
30.08.2008, 20:58
katykova

Спасибо! Все в порядке!!! :thumbsup:
А вы не могли бы посоветовать какие-нибудь меры предосторожности, чтобы эту гадость вновь не подцепить? Каким вообще антивирусом лучше пользоваться?
30.08.2008, 21:46
Гриша

Почитайте на досуге [url]http://security-advisory.virusinfo.info/[/url]

Антивирусы здесь [url]http://virusinfo.info/forumdisplay.php?f=39[/url]
30.08.2008, 22:11
katykova

Спасибо огромное, ребята, за помощь! Вы настоящие профессионалы!!! :) Желаю вам здоровья, а вашим пациентам скорейшего выздоровления! :D
P.S. Благодаря вам мой подопечный чувствует себя хорошо :D. Буду надеяться, что рецидива не будет...
22.02.2009, 07:36
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\svchost.exe:exe.exe:$data - [B]Trojan-Downloader.Win32.Injecter.akw[/B] (DrWEB: Trojan.DownLoad.4205)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.azr[/B] (DrWEB: Trojan.DownLoad.3503)[/LIST][/LIST]