PrivacyRemover.M64

Printable View

03.10.2008, 17:04
castilllo

Вложений: 3

опять Win32/Adware.Virtumonde Win32/PrivacyRemover.M64

сидел в инете, потом понял что у меня вирус. нашел ваш сайт. надеюсь на вашу помощь.
03.10.2008, 18:27
Rene-gad

Скачайте [URL="http://virusinfo.info/showthread.php?t=17109"]IceSword [/URL], поищите и скопируйте файлы:
[CODE]C:\WINDOWS\System32\Drivers\Winad82.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
[/CODE]
Скопированные с помощью IceSword файлы сохраните в карантине ...avz\quarantine\.
Потом удалите их с помощью [URL="http://virusinfo.info/showthread.php?t=17228"]force delete[/URL]
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Winad82');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winad82.sys','');
QuarantineFile('C:\WINDOWS\system32\blphc9uuj0ecfe.scr','');
QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
QuarantineFile('WinCtrl32.dll','');
QuarantineFile('C:\WINDOWS\services.exe','');
DeleteFile('C:\WINDOWS\services.exe');
DeleteFile('WinCtrl32.dll');
DeleteFile('C:\WINDOWS\system32\blphc9uuj0ecfe.scr');
DeleteFile('C:\WINDOWS\System32\Drivers\Winad82.sys');
DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('Winad82');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
03.10.2008, 20:38
castilllo

Вложений: 3

вот
03.10.2008, 21:46
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Clearquarantine;
TerminateProcessByName('c:\windows\system32\lphc9uuj0ecfe.exe');
QuarantineFile('c:\windows\system32\lphc9uuj0ecfe.exe','');
DeleteFile('c:\windows\system32\lphc9uuj0ecfe.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[CODE]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/CODE]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 2 п.4 правил).
- Прикрепите логи к новому сообщению.
03.10.2008, 23:07
castilllo

Вложений: 3

те файлы карантина еще раз выложить?
04.10.2008, 11:55
Rene-gad

[QUOTE=castilllo;292457]те файлы карантина еще раз выложить?[/QUOTE]там д.б. другие файлы.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
[/CODE]
Жалобы есть?
04.10.2008, 17:27
castilllo

спасибо вам. жалоб пока нет. рисунок рабочего стола автоматически на тот с warning не заменяется.
а насчет карантина, все файлы которые в папке Quarantine от AVZ выложить чтоль надо?? я только выкладывал только из этого списка:
C:\WINDOWS\System32\Drivers\Winad82.sys
C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\system32\WinCtrl32.bak
C:\WINDOWS\system32\WinCtrl32.dl_
04.10.2008, 17:56
Rene-gad

[QUOTE=castilllo;292705]рисунок рабочего стола автоматически на тот с warning не заменяется.[/QUOTE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]
begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.
[/CODE]
После перезагрузки проинформируйте о состоянии ПК.
[QUOTE=castilllo;292705]
все файлы которые в папке Quarantine от AVZ выложить чтоль надо??[/QUOTE]пришлите нам: [url]http://virusinfo.info/showthread.php?t=4567[/url]
22.02.2009, 08:26
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\winad - [B]Trojan-Downloader.Win32.Mutant.aim[/B] (DrWEB: Trojan.Rntm.10)[*] \\winctrl1 - [B]Trojan-Downloader.Win32.Mutant.boi[/B] (DrWEB: BackDoor.Bulknet.225)[*] \\winctrl2 - [B]Trojan-Downloader.Win32.Mutant.boi[/B] (DrWEB: BackDoor.Bulknet.225)[/LIST][/LIST]