privacyremover.m64

Printable View

14.09.2008, 22:56
AnatoliyF7

Вложений: 3

win32/adware.virtumonde win32/privacyremover.m64

Помогите,pls, убрать вирусы.
На рабочем столе:
warning!win32/adware.virtumonde
warning!win32/privacyremover.m64
15.09.2008, 00:08
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\Windh03.sys','');
DeleteService('Winye72');
DeleteService('Winye58');
DeleteService('Winyd14');
DeleteService('Winwc14');
DeleteService('Winwa47');
DeleteService('Winuy82');
DeleteService('Wintw58');
DeleteService('Winpu15');
DeleteService('Winot83');
DeleteService('Winos48');
DeleteService('Winns37');
DeleteService('Winlq50');
DeleteService('Winlp71');
DeleteService('Wingk60');
DeleteService('Wingk36');
DeleteService('Winej03');
DeleteService('Windh82');
DeleteService('Windh71');
DeleteService('Windh48');
DeleteService('Windh47');
DeleteService('Wincg82');
DeleteService('Winae72');
DeleteService('WebClientERSvc');
DeleteService('WZCSVCDhcp');
DeleteService('WmdmPmSNNetDDEdsdm');
DeleteService('ThemesSpooler');
DeleteService('SpoolerServiceLayerWmdmPmSN');
DeleteService('RasAutoMSIServer');
DeleteService('PolicyAgentMessenger');
DeleteService('PlugPlayFastUserSwitchingCompatibility');
DeleteService('NetmanImapiService');
DeleteService('MDMlanmanserver');
DeleteService('DnscacheMSIServer');
DeleteService('COMSysAppRDSessMgr');
DeleteService('ClipSrvhelpsvc');
DeleteService('ClipSrvFastUserSwitchingCompatibility');
DeleteService('ClipSrv Smart');
DeleteService('AtiHidServ');
DeleteService('aspnet_stateSpoolerServiceLayerWmdmPmSN');
DeleteService('AppMgmtWudfSvc');
DeleteService('AppMgmtClipSrvWZCSVC');
DeleteService('AppMgmtClipSrv');
QuarantineFile('srv.exe','');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winae72.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wincg82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Windh82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winej03.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk36.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingk60.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlp71.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq50.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winns37.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winos48.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winot83.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpu15.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Wintw58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwa47.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winwc14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winyd14.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye58.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winye72.sys');
DeleteFile('C:\WINDOWS\system32\blphc9b9j0eg8e.scr');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\drivers\Windh03.sys');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
16.09.2008, 00:24
AnatoliyF7

Вложений: 3

скрипт выполнен

скрипт выполнен
выкладываю логи
16.09.2008, 00:31
V_Bond

Восстановление системы отключить !
[URL="http://www.majorgeeks.com/downloadget.php?id=5199&file=15&evp=0d36c3ec48c6373fd5daac78f0c6a417"]скачайте [/URL]C:\WINDOWS\System32\Drivers\Winuy82.sys - force delete
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\rhccb9j0eg8e\rhccb9j0eg8e.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winuy82.sys','');
DeleteService('Winuy82');
QuarantineFile('Winuy82.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('Winuy82.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuy82.sys');
DeleteFile('C:\Program Files\rhccb9j0eg8e\rhccb9j0eg8e.exe');
DeleteFile('C:\WINDOWS\system32\blphc9b9j0eg8e.scr');
DeleteFile('C:\WINDOWS\system32\lphc9b9j0eg8e.exe');
DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
повторите логи
16.09.2008, 23:48
AnatoliyF7

Вложений: 3

все сделал, файл Winuy82.sys не нашел, удалил похожие
послал карантин, выкладываю логи.
17.09.2008, 00:15
V_Bond

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winxc48');
DeleteService('HTTPFilterPolicyAgent');
DeleteService('CiSvc Smart');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxc48.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи
23.09.2008, 21:36
AnatoliyF7

Вложений: 3

[FONT=Times New Roman]Скрипт выполнил.[/FONT]
23.09.2008, 21:44
V_Bond

пофиксите
[code]
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/code]
больше ничего подозрительного
23.09.2008, 22:28
AnatoliyF7

[FONT=Arial Narrow][B]Огромное Вам спасибо.[/B][/FONT]
22.02.2009, 07:58
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\rhccb9j0eg8e\\rhccb9j0eg8e.exe - [B]not-a-virus:FraudTool.Win32.AntivirusXP2008.bg[/B] (DrWEB: Trojan.Fakealert.1264)[*] c:\\windows\\system32\\drivers\\windh03.sys - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] c:\\windows\\system32\\winctrl32.dll - [B]Trojan-Downloader.Win32.Mutant.blt[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]