и опять win32/Adware.Virtumonde

[tinkk]

Вчера ночью упало электричество, после перезагрузки появилась табличка с инфой о win32/Adware.Virtumonde Win32/PrivacyRemover.m64 . Так же заблокирован диск D:, при попытке попасть на него предлагает форматировать.

[tinkk]

логи прилагаются.

[tinkk]

извините конечно, но ап, ибо тема провалилась уже на 3-ю страницу. Кстати, так же исчезли картинки у файлов на рабочем столе, забыл в прошлый раз написать.

[V_Bond]

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('activexdebugger32.exe','');
 QuarantineFile('C:\WINDOWS.0\MS32DLL.dll.vbs','');
 QuarantineFile('c:\windows.0\system32\lphc3l5j0e969.exe','');
 DeleteFile('c:\windows.0\system32\lphc3l5j0e969.exe');
 DeleteFile('C:\WINDOWS.0\system32\blphc3l5j0e969.scr');
 DeleteFile('C:\WINDOWS.0\system32\lphc3l5j0e969.exe');
 DeleteFile('C:\WINDOWS.0\MS32DLL.dll.vbs');
 DeleteFile('activexdebugger32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ....
повторите логи ....

[Rene-gad]

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите

Код:

F2 - REG:system.ini: Shell=explorer.exe activexdebugger32.exe
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O4 - HKLM\..\Run: [lphc3l5j0e969] C:\WINDOWS.0\system32\lphc3l5j0e969.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

- Включите AVZPM
- Сделайте повторные логи по правилам.
- Прикрепите логи к новому сообщению.

[tinkk]

закачал карантин.
Файл сохранён как 080825_035603_virus_48b273a3bb8bc.zip
Размер файла 195644
MD5 a00d9ee8fd305de4b4ea5049d5743867

[Rene-gad]

закачал карантин.

Спасибо. Логи в студию, плиз.

[tinkk]

Логи.

[V_Bond]

ничего зловредного не видно ...

[tinkk]

вроде всё ничего, да только теперь ни одна программа находящаяся на диске Д не запускается, да и доступа на диск нет- предлагает форматировать. Ну и IE постоянно подвисает. Кроме этого вроде всё поправилось.

[V_Bond]

вроде всё ничего, да только теперь ни одна программа находящаяся на диске Д не запускается, да и доступа на диск нет- предлагает форматировать.

проверку поверхности диска делали ?

Ну и IE постоянно подвисает. Кроме этого вроде всё поправилось.

ну оно понятно у вас модули расширения Ие на Д ....

[tinkk]

На харде есть вторая винда, в ней диск Д работает исправно, а тут после этого случая отказывается, но проверку сейчас на всякий случай проведу.

Добавлено: Кстати, обнаружил что в верхней части (на одной линии с значками управления окном) окна IE написано "Hacked by Godzilla" Странно это)

Добавлено через 5 часов 7 минут

Ну что? Есть какие-нибудь мысли?

[V_Bond]

это просто ...
пофиксите ...

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla

[tinkk]

А на счёт доступа к диску Д?

[V_Bond]

что с проверкой ?
какие ошибки выдаются ? лучше скришет ...
диск с каким интерфейсом используется ?

[tinkk]

диск NTFS, винда обрезаная, проверщика диска в ней не оказалось х_х Опять же повторю, в другой винде, которая стоит на этом же харде диск Д работает нормально.

[V_Bond]

NTFS это файловая система ... справшиваю о интерфейсе похоже у вас sata диск и просто нет драйверов у "обрезанной винды" .... ну где скриншет ? для проверки можно скачать кучу сторонних утилит ...

[tinkk]

А, извиняюсь, диск IDE которому уже 2 года. Скрин, как я понимаю нужен результатов проверки диска?

[V_Bond]

скрин нужен ошибки при обращении к диску ...
ошибки на диске обнаружены ?

[tinkk]

Нортон диск доктор никаких ошибок не выявил.