Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64

[DenisEmelyanov]

Пожалуйста помогите справиться с этим недугом . На рабочем столе висит это сообщение и его невозможно удалить. Так же есть и другие проблемы типа Троян даунлоудер и есть подозрения что полно всякого разного. Всё проверил КАV но не помогло. Спасите.

[Aleksandra]

Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winag41.sys

и сделайте им Force Delete.

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('Winag41');
 DeleteService('WZCSVClanmanserver');
 DeleteService('WMPNetworkSvcRemoteAccess');
 DeleteService('WmdmPmSNaspnet_state');
 DeleteService('VSSose');
 DeleteService('TermServiceFastUserSwitchingCompatibility');
 DeleteService('ShellHWDetectionRDSessMgr');
 DeleteService('RSVPTermService');
 DeleteService('RasManTrkWks');
 DeleteService('PolicyAgentclr_optimization_v2.0.50727_32');
 DeleteService('NlaFastUserSwitchingCompatibility');
 DeleteService('NBServiceWmiApSrv');
 DeleteService('DnscacheAlerterMessenger');
 DeleteService('DnscacheAlerter');
 DeleteService('CryptSvcNetDDEdsdmSharedAccess');
 DeleteService('CryptSvcNetDDEdsdm');
 DeleteService('COMSysAppNlaFastUserSwitchingCompatibility');
 DeleteService('clr_optimization_v2.0.50727_32RasAuto');
 DeleteService('ClipSrvPlugPlay');
 DelBHO('{F70331EF-E4B2-4DA1-87E2-9BF7C9BB632E}');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winag41.sys','');
 QuarantineFile('C:\WINDOWS\system32\blphc14uj0ead9.scr','');
 QuarantineFile('C:\WINDOWS\aslpmqk.dll','');
 QuarantineFile('C:\WINDOWS\dopfwrlnol.dll','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winag41.sys');
 DelWinlogonNotifyByKeyName('WinCtrl32');
 DeleteFile('C:\WINDOWS\aslpmqk.dll');
 DeleteFile('C:\WINDOWS\system32\blphc14uj0ead9.scr');
 DeleteFile('C:\WINDOWS\dopfwrlnol.dll');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('Winag41');
 BC_DeleteSvc('WZCSVClanmanserver');
 BC_DeleteSvc('WMPNetworkSvcRemoteAccess');
 BC_DeleteSvc('WmdmPmSNaspnet_state');
 BC_DeleteSvc('VSSose');
 BC_DeleteSvc('TermServiceFastUserSwitchingCompatibility');
 BC_DeleteSvc('ShellHWDetectionRDSessMgr');
 BC_DeleteSvc('RSVPTermService');
 BC_DeleteSvc('RasManTrkWks');
 BC_DeleteSvc('PolicyAgentclr_optimization_v2.0.50727_32');
 BC_DeleteSvc('NlaFastUserSwitchingCompatibility');
 BC_DeleteSvc('NBServiceWmiApSrv');
 BC_DeleteSvc('DnscacheAlerterMessenger');
 BC_DeleteSvc('DnscacheAlerter');
 BC_DeleteSvc('CryptSvcNetDDEdsdmSharedAccess');
 BC_DeleteSvc('CryptSvcNetDDEdsdm');
 BC_DeleteSvc('COMSysAppNlaFastUserSwitchingCompatibility');
 BC_DeleteSvc('clr_optimization_v2.0.50727_32RasAuto');
 BC_DeleteSvc('ClipSrvPlugPlay');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29339

3. Повторите логи.

[DenisEmelyanov]

WinCtrl32.dll удалил, а второй файл не удалось найти, выполнил скрипт но всё осталось без изменений

[V_Bond]

пофиксите ...

Код:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O21 - SSODL: bxsnvqt - {12AAE3E8-C027-45D5-B163-159DE552625E} - (no file)

выполните скрипт ....

Код:

begin
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.

больше ничего плохого ...

[DenisEmelyanov]

Огромное спасибо Вам за помощь, всё встало на свои места, зловреды пропали ! (вроде бы?)