PrivacyRemover.M64.

Printable View

06.09.2008, 12:16
vovano2003

Вложений: 3

Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64.

Добрый день! Проблема. Заблокирована вкладка настройки рабочего стола. На экране картинка, что обнаружены вирусы Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
Прошу помочь. Заранее благодарен.
С уважением Владимир
06.09.2008, 12:25
V_Bond

отключите восстановление системы !!!!
ваыполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Olga\Local Settings\Temp\Temporary Internet Files\Content.IE5\JJHZVDWW\Install[1].exe','');
QuarantineFile('C:\WINDOWS\system32\winivstr.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\karina.dat','');
DeleteService('Winxe05');
DeleteService('Winvc41');
DeleteService('Winqw17');
DeleteService('Winpv85');
DeleteService('Winms28');
DeleteService('Winlr17');
DeleteService('Winkq30');
DeleteService('Winip86');
DeleteService('Winag06');
DeleteService('Taf17');
DeleteService('Elr85');
DeleteFile('C:\WINDOWS\System32\Drivers\Elr85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Taf17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winag06.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winip86.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkq30.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlr17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winms28.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpv85.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winqw17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrx17.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvc41.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxe05.sys');
DeleteFile('C:\WINDOWS\system32\blphcrh8j0egbt.scr');
DeleteFile('C:\WINDOWS\system32\karina.dat');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('WinNt64.dll');
DeleteFile('C:\WINDOWS\system32\winivstr.exe');
DeleteFile('C:\Documents and Settings\Olga\Local Settings\Temp\Temporary Internet Files\Content.IE5\JJHZVDWW\Install[1].exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
06.09.2008, 12:38
vovano2003

Выполнил. Комп перезагрузился. Настройка Рабочего Стола стала доступена. Карантин выслал. Что делать дальше?
06.09.2008, 12:57
Rene-gad

[QUOTE=vovano2003;279938] Что делать дальше?[/QUOTE]V_Bond все написал. Вы читайте, плиз...
06.09.2008, 13:28
vovano2003

Вложений: 3

Сори. Прикрепляю новые логи.. Карантин высылал
06.09.2008, 13:37
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - AppInit_DLLs: karina.dat
O20 - Winlogon Notify: WinNt64 - C:\WINDOWS\
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\XPSecurityCenter\install.exe','');
QuarantineFile('C:\WINDOWS\system32\_scui.cpl','');
DeleteFile('C:\WINDOWS\system32\_scui.cpl');
DeleteFile('C:\Program Files\XPSecurityCenter\install.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
06.09.2008, 19:45
vovano2003

Вложений: 3

Карантин выслал.
Новые Логи прикрепил
06.09.2008, 19:47
Rene-gad

В логах ничего подозрительного.
На что еще жалуетесь?
06.09.2008, 20:42
vovano2003

Больше проблем нет. Большое спасибо. :)
22.02.2009, 07:50
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\olga\\local settings\\temp\\temporary internet files\\content.ie5\\jjhzvdww\\install[1].exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\program files\\xpsecuritycenter\\install.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[*] c:\\system volume information\\_restore{2eb16ff3-9dd6-49b8-a5de-1a4e2edf6943}\\rp15\\a0000164.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\karina.dat - [B]Backdoor.Win32.Small.eug[/B] (DrWEB: Trojan.Proxy.1739)[*] c:\\windows\\system32\\_scui.cpl - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.af[/B] (DrWEB: Trojan.Fakealert.1317)[*] c:\\windows\\system32\\winivstr.exe - [B]not-a-virus:FraudTool.Win32.XPSecurityCenter.p[/B] (DrWEB: Trojan.Fakealert.1208)[/LIST][/LIST]