Показано с 1 по 18 из 18.

Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 терзают компьютер. Помогите, плиз... (заявка № 28664)

  1. #1
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57

    Thumbs up Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 терзают компьютер. Помогите, плиз...

    Исчезла заставка с рабочего стола и появилось окно "Warning! Spyware detected on your computer!" далее внизу: "Win32/Adware.Virtumonde Detected on your computer" и вторая: "Win32/PrivacyRemover.M64 Detected on your computer"

    Периодически машина перезагружается самостоятельно, после чего появляется синий экран с английскими надписями. В процессе получения первого лога машина, будучи подключенной к сети, снова выдала синий экран; после этого все тесты выполнялись с выдернутым сетевым кабелем.

    Заранее спасибо!
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Восстановление системы: включено


    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.bak
    C:\WINDOWS\system32\WinCtrl32.dl_
    C:\WINDOWS\system32\Drivers\Winry52.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winry52');
     DeleteService('W32TimeNla');
     DeleteService('upnphostaawservice');
     DeleteService('TrkWksRasAuto');
     DeleteService('TrkWksMessenger');
     DeleteService('TapiSrvMessenger');
     DeleteService('stisvcAudioSrv');
     DeleteService('PmlRpcSsanbmService');
     DeleteService('PmlRpcSs');
     DeleteService('PlugPlayTapiSrvMessenger');
     DeleteService('AudioSrv Driver HPZ12');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winry52.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('c:\windows\system32\lphc1a4j0ee3c.exe');
     DeleteFile('C:\WINDOWS\system32\lphc1a4j0ee3c.exe');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winry52.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winry52');
     BC_DeleteSvc('W32TimeNla');
     BC_DeleteSvc('upnphostaawservice');
     BC_DeleteSvc('TrkWksRasAuto');
     BC_DeleteSvc('TrkWksMessenger');
     BC_DeleteSvc('TapiSrvMessenger');
     BC_DeleteSvc('stisvcAudioSrv');
     BC_DeleteSvc('PmlRpcSsanbmService');
     BC_DeleteSvc('PmlRpcSs');
     BC_DeleteSvc('PlugPlayTapiSrvMessenger');
     BC_DeleteSvc('AudioSrv Driver HPZ12');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57

    Вроде бы все сделал...

    Пытался следовать инструкциям - думаю, мне это удалось. Картинка на рабочем столе висит по прежнему
    Вложения Вложения

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Давайте о картинках поговорим позжее

    IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\system32\WinCtrl32.dll
    C:\WINDOWS\system32\WinCtrl32.bak
    C:\WINDOWS\system32\WinCtrl32.dl_
    C:\WINDOWS\system32\Drivers\Winry52.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Отключите или удалите Ад-Аваре - толку с него, как видите немного.
    - Системное восстановление.
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winry52');
     DeleteService('PlugPlayTapiSrvMessengerDhcp');
      QuarantineFile('C:\WINDOWS\system32\Drivers\Winry52.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winry52.sys');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('Winry52');
     BC_DeleteSvc('PlugPlayTapiSrvMessengerDhcp');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  6. #5
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57
    Хочу уточнить по пунктам:

    1) Красный шрифт в начале - Восстановление системы: включено - это означает, что оно должно быть включено? Или красным - это моя ошибка, и надо его выключить?
    2) Что значит "Скопированные с помощью IceSword файлы сохраните в карантине"? Согласно правилам, в карантин кидает AVZ?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Цитата Сообщение от samum Посмотреть сообщение
    Или красным - это моя ошибка, и надо его выключить?
    Читайте вслух пункт 7 правил.
    Цитата Сообщение от samum Посмотреть сообщение
    2) Что значит "Скопированные с помощью IceSword файлы сохраните в карантине"? Согласно правилам, в карантин кидает AVZ?
    Если Вы не дали себе труда, ознакомится с правилами, то дайте себе труд, дочитать до конца предложение
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).. Читайте вслух содержание Приложения 2
    Если Вы отказываетесь выполнять указания хелперов, или делаете всё по-своему, не удивляйтесь тому, что Ваша тема может быть закрыта.
    Последний раз редактировалось Rene-gad; 22.08.2008 в 00:03.

  8. #7
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57
    Rene, я прошу прощения, я если я Вас чем-то обидел - я просто не хочу совершать типичных ошибок и плодить работу для Вас. Вам, уверен, также не хочется повторять одну итерацию несколько раз.
    Проблема с IceSword' ом заключается в том, что в Правилах я не нашел последовательность его использования. Вы пишете - "скопированные с его помощью файлы" - я же прошу уточнить, как именно я дожен скопировать файлы (либо выполнить любую другую операцию) с его помощью, если в Правилах указывается AVZ? Пожалуйста, объясните, или приведите цитату из Правил.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Некоторые пункты, которые не разъяснены в правилах, снабжены ссылками на нужную статью из раздела Чаво.
    В частности:
    IceSword , поищите и скопируйте файлы:
    выводит на статью Чаво: Как скопировать файл с помощью IceSword и т.д.

  10. #9
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57
    Все сделал, как было сказано. Непонятно - Sword видит (моими глазами) 3 файла из 4 (не видит WinCtrl32.bak), а при работе AVZ в карантин помещаются только два файла, да и то с ошибками. В скрепке - три запрошенных лога, и еще - лог AVZ при помещении в карантин.
    Запрошенный карантин - скопированные из Сворда и вручную архивированные 3 файла. Если нужно, могу прислать карантин AVZ дополнительно, но в нем не будет Winry52.sysю
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 22.08.2008 в 10:08. Причина: не нужно цитировать сообщения полностью.

  11. #10
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57
    Забыл лог AVZ

    moderated:::это м.п. тоже в правилах написано.
    Не постите и не прикрепляйте никакие другие файлы, логи, кроме логов HijackThis и AVZ (virusinfo_syscure.zip ,virusinfo_syscheck.zip),
    если Вас об этом не просили.
    Последний раз редактировалось Rene-gad; 22.08.2008 в 10:09.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от samum Посмотреть сообщение
    Забыл лог AVZ
    А что же тогда вложено в предыдущее сообщение?

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    -Пофиксите
    Код:
    O20 - Winlogon Notify: WinCtrl32 - WinCtrl32.dll (file missing)
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('upnphost Driver HPZ12');
     DeleteService('lanmanworkstationRDSessMgr');
    BC_ImportAll;
    ExecuteSysClean;
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
     BC_DeleteSvc('upnphost Driver HPZ12');
     BC_DeleteSvc('lanmanworkstationRDSessMgr');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи начиная от п.10 правил.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Прикрепите логи к новому сообщению.

  14. #13
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57

    Рад, что Вы вернулись, Rene

    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В логах чисто.
    Поставьте Сервис Пак 3.

  16. #15
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57

    ОГРОМНОЕ СПАСИБО!!!

    Огромное Вам спасибо! Не знаю, что бы я без Вас делал - в нашем городе нет специалистов такого уровня, ну, или они мне неизвестны

    Крайний вопрос - где лучше взять 3 ServicePack?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Лучше всего - с официального сайта MS. У Rene-gad в подписи есть прямая ссылка.

  18. #17
    Junior Member Репутация
    Регистрация
    21.08.2008
    Сообщений
    9
    Вес репутации
    57
    Еще раз ОГРОМНОЕ СПАСИБО! Ушел ставить SP3

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dl_ - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      2. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      3. \\1 - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      4. \\2 - Trojan-Downloader.Win32.Mutant.ayn (DrWEB: Trojan.Packed.573)
      5. \\3 - Trojan-Downloader.Win32.Mutant.aim (DrWEB: Trojan.Rntm.10)


  • Уважаемый(ая) samum, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 9
      Последнее сообщение: 22.02.2009, 08:26
    2. Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64 , помогите!!!
      От Сергей Боршков в разделе Помогите!
      Ответов: 26
      Последнее сообщение: 22.02.2009, 08:18
    3. Помогите! Win32/Adware.Virtumonde Win32/PrivacyRemover.M64
      От Andryu XXX в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.09.2008, 12:27
    4. ПОМОГИТЕ!!! Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64
      От eorm20 в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 29.08.2008, 12:15
    5. win32/Adware.Virtumonde и Win32/PrivacyRemover.m64 - компьютер 2
      От Григорий Т в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 28.08.2008, 10:13

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01171 seconds with 18 queries