Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64

[Bzzzik]

Здраствуйте.
Суть проблемы как и у многих - Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
Заранее благодарен за помощь.

[Rene-gad]

Нарушения правил при сборе информации для раздела Помогите.


- Не выключено системное восстановление.
- Не запущен Интернет Эксплорер.


Логи выполненные с нарушением правил рассматриваться не будут.
Спасибо за понимание.

То, что Вы в заголовок темы вынесли- безобидные цветочки по сравнению со всем остальным.
Когда закончим лечение - смените все сетевые пароли: по Вашей машине только ленивый не ходил.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,c:\documents and settings\ìàêñ\rna.exe \s,C:\WINDOWS\system32\ntos.exe,
O4 - HKLM\..\Run: [C:\DOCUME~1\95E4~1\LOCALS~1\Temp\update.exe] C:\DOCUME~1\95E4~1\LOCALS~1\Temp\update.exe
O4 - HKLM\..\Run: [winlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKLM\..\Run: [lphc77jj0ejfr] C:\WINDOWS\system32\lphc77jj0ejfr.exe
O4 - HKLM\..\Run: [MNIJIHCN] %systemroot%\MNIJIHCN.exe
O4 - HKCU\..\Run: [ASWPro] C:\Program Files\ASWPro\ASWPro.exe

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\winlogon.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
 QuarantineFile('C:\WINDOWS\system32\lphc77jj0ejfr.exe','');
 QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
 QuarantineFile('C:\WINDOWS\MNIJIHCN.exe','');
 QuarantineFile('C:\Program Files\ASWPro\ASWPro.exe','');
 QuarantineFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\update.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\C.tmp','');
 QuarantineFile('C:\WINDOWS\system32\drivers\dzzygfjz.dat','');
 QuarantineFile('C:\WINDOWS\system32\drivers\nzqomsxp.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\lnmwrvyq.sys','');
 QuarantineFile('C:\Program Files\ASWPro\SSS.sys','');
 DeleteService('AntiSpyWareProFilter');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Lyo25.sys','');
 QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
 DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Lyo25.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys','');
 QuarantineFile('C:\WINDOWS\GwLib.DLL','');
 QuarantineFile('C:\WINDOWS\system32\blphc77jj0ejfr.scr','');
 QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
 QuarantineFile('c:\windows\system32\ccevtsvc.exe','');
 DeleteService('lnmwrvyq');
 DeleteService('nzqomsxp');
 DeleteService('tcpsr');
 DeleteService('Passthru');
 DeleteService('Lyo25');
 DeleteService('CcEvtSvc');
 DeleteService('rzyzibza');
 DeleteFile('c:\windows\system32\ccevtsvc.exe');
 DeleteFile('c:\windows\system32\lphc77jj0ejfr.exe');
 DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
 DeleteFile('C:\WINDOWS\system32\blphc77jj0ejfr.scr');
 DeleteFile('C:\WINDOWS\GwLib.DLL');
 DeleteFile('C:\WINDOWS\system32\lphc77jj0ejfr.exe');
 DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\ndisio.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Lyo25.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Lyo25.sys');
 DeleteFile('C:\Program Files\ASWPro\SSS.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\lnmwrvyq.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\nzqomsxp.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\dzzygfjz.dat');
 DeleteFile('C:\WINDOWS\TEMP\C.tmp');
 DeleteFile('C:\DOCUME~1\95E4~1\LOCALS~1\Temp\update.exe');
 DeleteFile('C:\Program Files\ASWPro\ASWPro.exe');
 DeleteFile('C:\WINDOWS\MNIJIHCN.exe');
 DeleteFile('C:\WINDOWS\system32\cssrss.exe');
 DeleteFile('C:\WINDOWS\system32\ntos.exe');
 DeleteFile('C:\WINDOWS\winlogon.exe');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('lnmwrvyq');
 BC_DeleteSvc('nzqomsxp');
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('Passthru');
 BC_DeleteSvc('Lyo25');
 BC_DeleteSvc('CcEvtSvc');
 BC_DeleteSvc('rzyzibza');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[Bzzzik]

всё сделал как было Вами советовано - в результате комп выдал ошибку насчет утраты какой-то библиотеки "dll", перестало запускаться половина приложений как и explorer(все страницы недоступны,хотя на модеме значек наличия "конекта" горел).В итоге я психанул и решил отформатировать диск и переустановить систему.
Всё равно большое спасибо Вам за попытку помочь.

[Rene-gad]

.В итоге я .... решил отформатировать диск и переустановить систему.

Возможно это было правильное решение.