AntivirusXP 2008+Virtumonde+M64

Printable View

Показывать 40 сообщений этой темы на одной странице

19.09.2008, 20:11
ToHuka

Вложений: 1

Izvinite, 4to latinskimi. Na kompjutere netu russkogo wrifta.

Pozhalujsta pomogite udalitj virusi. Vesj denj uwlo 4tobi Kaspersky proskaniroval na nali4ie virusov. 4to-to udalilosj, no estj fajli, kotorie jakobi udaljatsa posle restarta. Na desktope tabli4ka Spyware detected + postojanno vilezaet Antivirus 2008 i prosit zaregistrirovatsa. Ne znaju uzhe 4to i delatj :(

Zaranee spasibo i ewjo raz prowu prowjenija za latinskie bukvi.

Sovsem zabila, prikladivaju logi:
19.09.2008, 20:46
Rene-gad

По ссылкам в Правилах скачайте АВЗ и Хайджек, обновите базы АВЗ.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Iexplore.exe','');
QuarantineFile('C:\WINDOWS\system32\pphcv8bj0e5tp.exe','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winrb33.sys','');
QuarantineFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\office.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcv8bj0e5tp.scr','');
QuarantineFile('C:\WINDOWS\system32\lphcv8bj0e5tp.exe','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\gliide.sys','');
QuarantineFile('D:\autorun.inf','');
DeleteService('AppleWMPNetworkSvc');
DeleteService('SNDSrvcgusvc');
DeleteService('NlaRDSessMgr');
DeleteService('gliide');
DeleteService('Winrb33');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\system32\DRIVERS\gliide.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\lphcv8bj0e5tp.exe');
DeleteFile('C:\WINDOWS\system32\blphcv8bj0e5tp.scr');
DeleteFile('C:\Documents and Settings\All Users\Start Menu\Programs\Startup\office.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Winrb33.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\pphcv8bj0e5tp.exe');
DeleteFile('C:\WINDOWS\system32\Iexplore.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('AppleWMPNetworkSvc');
BC_DeleteSvc('SNDSrvcgusvc');
BC_DeleteSvc('NlaRDSessMgr');
BC_DeleteSvc('gliide');
BC_DeleteSvc('Winrb33');
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
19.09.2008, 21:29
ToHuka

Ja o4enj izvenjajusj za svju negramotnostj; a gde nahodjatsa kew provodniki?:?
19.09.2008, 21:42
Гриша

Очистите этим [url]http://www.filehippo.com/download_ccleaner/[/url]
20.09.2008, 10:53
ToHuka

Вложений: 2

Sdelala vsjo soglasno instrukcii. S desktopa tabli4ka 4to prisutstvujut kakie to virusi propala, no Antivirus XP 2008 tak i vilaziet. Segodnja s utra tabli4ka 4to spyware detected pojavilasj snova :(
20.09.2008, 10:57
Rene-gad

[QUOTE=ToHuka;285947]Ja o4enj izvenjajusj za svju negramotnostj; a gde nahodjatsa kew provodniki?:?[/QUOTE]Ссылку в тексте не видели? Почему только 2 лога?
20.09.2008, 11:02
ToHuka

4estno, ne ponjala kak delatj etot syscure.zip.
20.09.2008, 11:03
Rene-gad

[QUOTE]4estno, ne ponjala kak delatj etot syscure.zip.[/QUOTE]
Для теx, кто в танке
[COLOR="Red"][SIZE="5"]По ссылкам в Правилах скачайте АВЗ, обновите базы АВЗ.[/SIZE][/COLOR]

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
begin
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\lphcv8bj0e5tp.exe','');
QuarantineFile('C:\WINDOWS\system32\blphcv8bj0e5tp.scr','');
QuarantineFile('C:\Program Files\rhcr8bj0e5tp\rhcr8bj0e5tp.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winen11.sys','');
DeleteService('Winen11');
DeleteService('is-49PVEW32Time');
DeleteService('IDriverT');
DeleteService('ClipSrvstisvc');
QuarantineFile('Winpa08.sys','');
QuarantineFile('c:\windows\system32\drivers\Winpa08.sys','');
QuarantineFile('c:\program files\rhcr8bj0e5tp\rhcr8bj0e5tp.exe','');
QuarantineFile('c:\windows\system32\pphcv8bj0e5tp.exe','');
QuarantineFile('c:\windows\system32\drivers\281.exe','');
DeleteFile('c:\windows\system32\drivers\281.exe');
DeleteFile('c:\windows\system32\pphcv8bj0e5tp.exe');
DeleteFile('c:\program files\rhcr8bj0e5tp\rhcr8bj0e5tp.exe');
DeleteFile('Winpa08.sys');
DeleteFile('c:\windows\system32\drivers\Winpa08.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Winen11.sys');
DeleteFile('C:\Program Files\rhcr8bj0e5tp\rhcr8bj0e5tp.exe');
DeleteFile('C:\WINDOWS\system32\blphcv8bj0e5tp.scr');
DeleteFile('C:\WINDOWS\system32\lphcv8bj0e5tp.exe');
end.
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winen11');
BC_DeleteSvc('is-49PVEW32Time');
BC_DeleteSvc('IDriverT');
BC_DeleteSvc('ClipSrvstisvc');
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
20.09.2008, 11:12
ToHuka

Na4aljnuju stadiju prodelala soglasno pravilam. Prosto ne ponjala punkt "Sdelajte povtornie logi". Eto v AVZ?
20.09.2008, 13:17
Rene-gad

Прочитайте первую строчку в сообщении 2. Что там не понятно?
20.09.2008, 13:52
ToHuka

Вложений: 3

Nu vrode bi vsjo ponjala :) Spasibo!
20.09.2008, 14:16
Rene-gad

[B]Нарушения [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL] при сборе информации для раздела Помогите.

[COLOR="Red"]
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.
[/COLOR]

Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Спасибо за понимание.[/B]

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
C:\WINDOWS\system32\Drivers\Winsd77.sys
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\wpsdrvnt.sys','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\lphcv8bj0e5tp.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsd77.sys','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\system32\blphcv8bj0e5tp.scr','');
QuarantineFile('c:\windows\system32\drivers\500.exe','');
DeleteService('Winsd77');
DeleteService('SCardSvrRpcLocator');
DeleteService('AddFiltrDnscache');
DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
DeleteFile('c:\windows\system32\drivers\500.exe');
DeleteFile('C:\WINDOWS\system32\blphcv8bj0e5tp.scr');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winsd77.sys');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\lphcv8bj0e5tp.exe');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winsd77');
BC_DeleteSvc('SCardSvrRpcLocator');
BC_DeleteSvc('AddFiltrDnscache');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
20.09.2008, 21:20
FEV74

Вложений: 3

Ewjo odna popitka :O

Pozhalujsta, posmotrite logi!
20.09.2008, 23:21
Гриша

В IceSword найдите и сделайте этим файлам Force Delete:

[CODE]C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\Drivers\Winsd77.sys[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Winsd77');
DeleteService('AppleLiveUpdate');
DeleteService('PolicyAgentMSMQ');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Winsd77.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('Winsd77');
BC_DeleteSvc('AppleLiveUpdate');
BC_DeleteSvc('PolicyAgentMSMQ');
BC_Activate;
ExecuteRepair(5 );
ExecuteRepair(6 );
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]

Повторите логи...
21.09.2008, 13:20
ToHuka

Вложений: 3

Visilaju logi. Po-moemu, sistemnoe vosstanovlenie bilo o4erednoj raz vklju4eno. Prosto kompjuter uhodit v standby i piwet 4to computer has just recovered from serious error. :( Nadpisj s desktopa is4ezaet pri restarte, no kak toljko delaju shut down i zanovo zapuskaju komp, spyware detected... pojavljaetsa opjatj.
21.09.2008, 14:46
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Antonina Vaganova\Local Settings\Temp\GoogleToolbarInstaller_ru.exe','');
DeleteService('TrkWksHidServ');
DeleteService('SwPrvSENS');
DeleteService('RemoteAccessLightScribeService');
DeleteService('NtLmSsplanmanworkstation');
QuarantineFile('c:\windows\system32\lphcv8bj0e5tp.exe','');
TerminateProcessByName('c:\windows\system32\lphcv8bj0e5tp.exe');
DeleteFile('c:\windows\system32\lphcv8bj0e5tp.exe');
DeleteFile('C:\WINDOWS\system32\blphcv8bj0e5tp.scr');
DeleteFile('C:\Documents and Settings\Antonina Vaganova\Local Settings\Temp\GoogleToolbarInstaller_ru.exe');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('TrkWksHidServ');
BC_DeleteSvc('SwPrvSENS');
BC_DeleteSvc('RemoteAccessLightScribeService');
BC_DeleteSvc('NtLmSsplanmanworkstation');
BC_Activate;
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.[/CODE]

Пришлите карантин по правилам,очистите временные файлы и кеш браузера,там сидит довнолоадер,который качает новый зоопарк,повторите логи...
21.09.2008, 18:36
ToHuka

Вложений: 3

Pozhalusjta, posmotrite logi!
21.09.2008, 18:50
Rene-gad

Ничего подозрительного.
Жалобы есть?
21.09.2008, 18:53
ToHuka

Nadpisj s desktopa tak i ne udalilasj...a tak vrode bi zhalob netu.
21.09.2008, 20:35
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.

Показывать 40 сообщений этой темы на одной странице