Показано с 1 по 12 из 12.

И снова Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64 (заявка № 28347)

  1. #1
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    7
    Вес репутации
    58

    Thumbs up И снова Win32/Adware.Virtumonde + Win32/PrivacyRemover.M64

    Здравствуйте. После того как девочка посмотрела "коротенький мультик" (с её слов), avast выдал несколько сообщений "обнаружен вирус" (если нужно пришлю логи). Она нажала "удалить" во всех всплывающих окнах и позвала меня.
    В автозагрузке обнаружил лишнее: loader.exe и lphc58kj0ej9r.exe - убрал галки и перезагрузился (поставил в avast "сканировать во время загрузки").
    Антивирус удалил какую-то мелочь и после входа в систему я увидел на рабочем столе вместо обоев сообщение: "Warning! Spyware detected on your computer! Install an antivirus or spyware remover to clean your computer". Также в свойствах рабочего стола перестали отображаться вкладки "рабочий стол" и "заставка".
    Теперь при подключении к интернету avast выдает "Win32:Agent-VGV [Wrm]" has been found in "C:\WINDOWS\System32\drivers\имя файла.sys". Жму удалить, и компьютер начинает рассылать спам. Отключаюсь, подключаюсь заново - снова рассылает спам. После перезагрузки при первом подключении к интернету снова "Win32:Agent-VGV [Wrm]" has been found in "C:\WINDOWS\System32\drivers\имя файла.sys" (причем имя файла каждый раз разное)
    Помогите пожалуста. Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winms16');
     DeleteService('Winkp73');
     DeleteService('Wingl62');
     DeleteService('Winaf84');
     DeleteService('Wch51');
     DeleteService('ShellHWDetectionlanmanserver');
     DeleteService('RSVPEventSystem');
     DeleteService('RpcLocatorIISADMIN');
     DeleteService('ALGRasAuto');
     QuarantineFile('srv.exe','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('srv.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wch51.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winaf84.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingl62.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkp73.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winms16.sys');
     DeleteFile('C:\WINDOWS\system32\blphc58kj0ej9r.scr');
     DeleteFile('WinCtrl32.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения3 правил ....
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    7
    Вес репутации
    58
    Спасибо за ответ.
    Дело в том, что комп на работе, а я уже дома. завтра утром пришлю карантин и логи.
    Еще вопрос. Если мне не изменяет память, там в ..\System32 кроме blphc58kj0ej9r.scr есть еще blphc58kj0ej9r.exe, может добавить в скрипт DeleteFile('C:\WINDOWS\system32\blphc58kj0ej9r.scr '); ?

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    в логах такого нет ... возможно убит антивирусом ...

  6. #5
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    7
    Вес репутации
    58
    Спасибо за ответ.
    Дело в том, что комп на работе, а я уже дома. завтра утром пришлю карантин и логи.
    Еще вопрос. Если мне не изменяет память, там в ..\System32 кроме blphc58kj0ej9r.scr есть еще blphc58kj0ej9r.exe, может добавить в скрипт
    DeleteFile('C:\WINDOWS\system32\blphc58kj0ej9r.exe '); ?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Перестаньте Вы за ведьмами охотиться - это милая шутка от SYSINTERNALS: http://technet.microsoft.com/en-us/s.../bb897558.aspx

  8. #7
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    7
    Вес репутации
    58
    Спасибо за помощь. Карантин выслал:
    ======
    Файл сохранён как 080819_020755_virus_48aa714bf0723.zip
    Размер файла 14317
    MD5 ba1e253196ea3a9b79ca65a43a93e205
    ======
    Рассылка спама прекратилась, обоина исчезла, вкладки в св-вах раб.стола восстановлены...но все равно что-то не так.
    В "Мой компьютер" появился значок "Веб-папки", появился какойто непонятный файл в папке %USERPROFILE% с неприятным названием S87ekhV.exe
    высылаю логи
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winbg51');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg51.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbg51.sys');
    BC_ImportaLL;
    ExecuteSysClean;
    BC_DeleteSvc('Winbg51');
    BC_Activate;
    RebootWindows(true);
    end.
    Догрузите подозрителЬный файл в карантин по приложению 2 правил.
    пришлите карантин согласно приложения3 правил ....
    повторите логи ...

  10. #9
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    7
    Вес репутации
    58
    Каранти отправил
    ======
    Файл сохранён как 080819_040232_virus_48aa8c2810170.zip
    Размер файла 208671
    MD5 9020a0ed8da4f0429b5d78094ef47b43
    ======
    Что то не так...
    Насколько я понял Winbg51.sys в карантин не добавился...плюс трафик какаято гадость жрет...(до последнего сктипта с трафом было норм.)
    высылаю логи
    Вложения Вложения

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
    O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
    А насчет траффика - Винда обновиться хочет.
    Сервис Пак 3 давно уже поставить пора + еще парочку обновлений

  12. #11
    Junior Member Репутация
    Регистрация
    18.08.2008
    Сообщений
    7
    Вес репутации
    58
    Спасибо большое за помощь.
    Все заработало..правда несовсем так как надо...но общее состояние пациента - стабильное

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\администратор\\s87ekhv.exe - Trojan-Dropper.Win32.Agent.vta (DrWEB: Trojan.MulDrop.18417)
      2. c:\\windows\\system32\\winctrl32.dll - Trojan-Dropper.Win32.Mutant.u (DrWEB: Trojan.DownLoad.3503)


  • Уважаемый(ая) RoVaL, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 - снова
      От atatat в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 25.10.2011, 14:57
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    3. Снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64.
      От Adis_S в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 07:50
    4. Ответов: 3
      Последнее сообщение: 16.09.2008, 15:16
    5. И снова Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
      От roman_bv в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 29.08.2008, 10:05

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00120 seconds with 20 queries