Junior Member
Вес репутации
57
Win32/Adware.Virutmonde Win32/PrivacyRemover.M64
Win32/Adware.Virutmonde Win32/PrivacyRemover.M64
Здравствуйте. Как у многих тут проблема.После загрузки системы(Windows XP) меня на рабочем столе появляется табличка Warning! Spyware detected on your computer! Warning! Win 32/Adware.Vitumonde Warning!Win32/PrivacyRemover.M64.Убрать ее не получается,но программы запускаются через раз.
Заранее спасибо Вам за помощь!
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
все выпололнять в нормальном режиме !!!
скачайте F:\WINDOWS\system32\Drivers\Winif36.sys - force delete
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('Q:\autorun.inf','');
QuarantineFile('P:\autorun.wsh','');
QuarantineFile('P:\autorun.inf','');
QuarantineFile('F:\WINDOWS\services.exe','');
QuarantineFile('F:\WINDOWS\iexplorer.exe','');
QuarantineFile('F:\Documents and Settings\techredactor.KARTA.000\Local Settings\Temp\loader.exe','');
QuarantineFile('F:\Documents and Settings\techredactor.KARTA.000\Local Settings\Temp\avz_2680_1.tmp','');
DeleteService('VOHOSXWR');
QuarantineFile('F:\WINDOWS\system32\drivers\VOHOSXWR.sys','');
DeleteService('wtnmonvw');
QuarantineFile('F:\WINDOWS\system32\drivers\wtnmonvw.sys','');
DeleteService('Winif36');
DeleteService('wscsvcPolicyAgent');
DeleteService('wscsvcDnscache');
DeleteService('ThemesNetman');
DeleteService('TapiSrvSwPrv');
DeleteService('SENSseclogon');
DeleteService('SamSsMSDTC');
DeleteService('RSVPProtectedStorageRasMan');
DeleteService('RSVPProtectedStorage');
QuarantineFile('RSVPProtectedStorage.sys','');
DeleteService('RpcLocatorPlugPlay');
DeleteService('RSVPmnmsrvc');
DeleteService('RasManNetlogon');
DeleteService('Nlastisvc');
DeleteService('NetDDEdsdmseclogonFastUserSwitchingCompatibility');
DeleteService('mnmsrvcSamSs');
DeleteService('FastUserSwitchingCompatibilitywuauserv');
DeleteService('FastUserSwitchingCompatibilityEventSystem');
DeleteService('dmserverWmi');
DeleteService('AppMgmtSpooler');
QuarantineFile('srv.exe','');
QuarantineFile('F:\WINDOWS\system32\nvrsul32.dll','');
QuarantineFile('F:\WINDOWS\twain_1d.dll','');
QuarantineFile('F:\WINDOWS\system32\WinCtrl32.dll','');
DeleteFile('F:\WINDOWS\system32\WinCtrl32.dll');
DeleteFile('F:\WINDOWS\twain_1d.dll');
DeleteFile('F:\WINDOWS\system32\nvrsul32.dll');
DeleteFile('srv.exe');
DeleteFile('RSVPProtectedStorage.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\Winif36.sys');
DeleteFile('F:\WINDOWS\system32\drivers\wtnmonvw.sys');
DeleteFile('F:\WINDOWS\system32\drivers\VOHOSXWR.sys');
DeleteFile('F:\Documents and Settings\techredactor.KARTA.000\Local Settings\Temp\avz_2680_1.tmp');
DeleteFile('F:\Documents and Settings\techredactor.KARTA.000\Local Settings\Temp\loader.exe');
DeleteFile('F:\WINDOWS\iexplorer.exe');
DeleteFile('F:\WINDOWS\services.exe');
DeleteFile('P:\autorun.inf');
DeleteFile('P:\autorun.wsh');
DeleteFile('Q:\autorun.inf');
DeleteFile('f:\autorun.wsh');
DeleteFile('q:\autorun.wsh');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
57
Все сделал. Карантин отправил. А с логами проблема. Теперь при загрузке компа, появляется синее окно и все перезагружается
Junior Member
Вес репутации
57
Секунд через 20 перезагружается
Добавлено через 1 минуту
В смысле загрузился, и через 20 сек. синий экран.
Последний раз редактировалось alexpi; 26.08.2008 в 16:05 .
Причина: Добавлено
странно ... пробуйте загрузить последнюю удачную конфигурацию и все заново ....
Junior Member
Вес репутации
57
К сожалению, все тоже самое. В safe mode работает
давайте логи в safe mode....
Junior Member
Вес репутации
57
Вложения
выполните скрипт ....
Код:
begin
QuarantineFile('F:\WINDOWS\NMMLIDEJ.exe','');
QuarantineFile('F:\WINDOWS\system32\oembios.exe','');
QuarantineFile('F:\WINDOWS\system32\lphcpt5j0e36o.exe','');
DeleteService('TrkWksWZCSVC');
DeleteService('SpoolerBITS');
DeleteService('Nlastisvc');
DeleteService('CryptSvcNtLmSsp');
DeleteFile('srv.exe');
DeleteFile('F:\WINDOWS\system32\blphcpt5j0e36o.scr');
DeleteFile('F:\WINDOWS\system32\lphcpt5j0e36o.exe');
DeleteFile('F:\WINDOWS\system32\oembios.exe');
DeleteFile('F:\WINDOWS\NMMLIDEJ.exe');
DeleteFile('F:\System Volume Information\_restore{F3351124-5BFE-4C15-841D-AD02C5E69E7C}\RP588\A0290966.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
попробуйте сделать логи в нормальном режиме ....
Junior Member
Вес репутации
57
Теперь грузится в нормальном режиме, но при запуске стандартного скрипта в avz выскакивает синий экран и перезагружается. Красная табличка первоначально появляется, потом пропадает. Карантин отправил
давайте логи начиная с пункта 10 правил ...
Junior Member
Вес репутации
57
Логи с 10-го в нормальном режиме
Вложения
Spybot -деинсталировать ...
в icesword удалите F:\WINDOWS\system32\drivers\oqttqpst.sys
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('F:\WINDOWS\twain_1d.dll','');
QuarantineFile('F:\WINDOWS\system32\oembios.exe','');
QuarantineFile('F:\WINDOWS\system32\lphcpt5j0e36o.exe','');
QuarantineFile('F:\WINDOWS\services.exe','');
QuarantineFile('F:\WINDOWS\msauc.exe','');
QuarantineFile('F:\WINDOWS\iexplorer.exe','');
BC_DeleteSvc('Wintk50');
BC_DeleteSvc('Winif36');
BC_DeleteSvc('Winff25');
BC_DeleteSvc('rnqssotv');
QuarantineFile('F:\WINDOWS\system32\drivers\rnqssotv.sys','');
BC_DeleteSvc('oqttqpst');
QuarantineFile('oqttqpst.sys','');
BC_DeleteSvc('wscsvcPolicyAgent');
BC_DeleteSvc('wscsvcDnscache');
BC_DeleteSvc('TlntSvrRasAutolanmanserver');
BC_DeleteSvc('ThemesNetman');
BC_DeleteSvc('TapiSrvSwPrv');
BC_DeleteSvc('SwPrvRDSessMgr');
BC_DeleteSvc('SENSseclogon');
BC_DeleteSvc('SamSsMSDTC');
BC_DeleteSvc('RSVPProtectedStorageRasMan');
BC_DeleteSvc('RpcLocatorPlugPlay');
BC_DeleteSvc('RasManSENSseclogon');
BC_DeleteSvc('RasManNetlogon');
BC_DeleteSvc('PlugPlaySamSs');
BC_DeleteSvc('Nlastisvc');
BC_DeleteSvc('NetmanWebClient');
BC_DeleteSvc('NetlogonSSDPSRV');
BC_DeleteSvc('NetDDEdsdmseclogonFastUserSwitchingCompatibility');
BC_DeleteSvc('NetDDEdsdmseclogon');
BC_DeleteSvc('mnmsrvcSamSs');
BC_DeleteSvc('FastUserSwitchingCompatibilitywuauserv');
BC_DeleteSvc('FastUserSwitchingCompatibilityEventSystem');
BC_DeleteSvc('DhcpThemes');
BC_DeleteSvc('COMSysAppMessenger');
BC_DeleteSvc('ATKKeyboardServiceBITS');
BC_DeleteSvc('AppMgmtSpooler');
DeleteFile('srv.exe');
DeleteFile('oqttqpst.sys');
DeleteFile('F:\WINDOWS\system32\drivers\rnqssotv.sys');
DeleteFile('F:\WINDOWS\system32\drivers\oqttqpst.sys');
DeleteFile('F:\WINDOWS\System32\drivers\Winff25.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\Winif36.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\Wintk50.sys');
DeleteFile('F:\WINDOWS\iexplorer.exe');
DeleteFile('F:\WINDOWS\msauc.exe');
DeleteFile('F:\WINDOWS\services.exe');
DeleteFile('F:\WINDOWS\system32\blphcpt5j0e36o.scr');
DeleteFile('F:\WINDOWS\system32\lphcpt5j0e36o.exe');
DeleteFile('F:\WINDOWS\system32\oembios.exe');
DeleteFile('F:\WINDOWS\twain_1d.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пофиксите
Код:
F2 - REG:system.ini: UserInit=F:\WINDOWS\system32\userinit.exe,F:\WINDOWS\system32\oembios.exe
пришлите карантин согласно приложения 3 правил ...
повторите логи ..
Junior Member
Вес репутации
57
Вложения
Выполните пункт 2 правил.
Скачайте IceSword , поищите и скопируйте файлы:
Код:
F:\WINDOWS\twain_1d.dll
Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-Пофиксите
Код:
R3 - URLSearchHook: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O3 - Toolbar: (no name) - {855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O4 - HKLM\..\Run: [lphcpt5j0e36o] F:\WINDOWS\system32\lphcpt5j0e36o.exe
O4 - HKLM\..\Run: [lsass driver] F:\WINDOWS\msauc.exe
O4 - HKLM\..\Run: [services] F:\WINDOWS\services.exe
O4 - HKLM\..\Run: [NMMLIDEJ] %systemroot%\NMMLIDEJ.exe
O4 - HKCU\..\Run: [iexplorer] F:\WINDOWS\iexplorer.exe --system
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - F:\WINDOWS\twain_1d.dll
O20 - Winlogon Notify: WinCtrl32 - F:\WINDOWS\
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{53B95212-7D77-11D2-9F80-00104B107C97}');
DeleteService('FastUserSwitchingCompatibilitywuauservDhcp');
DeleteService('FastUserSwitchingCompatibilitywuauserv');
DeleteService('FastUserSwitchingCompatibilityEventSystem');
DeleteService('dmserverWmi');
DeleteService('DhcpThemes');
DeleteService('COMSysAppMessenger');
DeleteService('ATKKeyboardServiceBITS');
DeleteService('AppMgmtSpooler');
DeleteService('RSVPmnmsrvc');
DeleteService('RpcLocatorPlugPlay');
DeleteService('RasManSENSseclogon');
DeleteService('RasManNetlogon');
DeleteService('PlugPlaySamSs');
DeleteService('Nlastisvc');
DeleteService('NetmanWebClientProtectedStorage');
DeleteService('NetmanWebClient');
DeleteService('NetlogonSSDPSRV');
DeleteService('NetDDEdsdmseclogonFastUserSwitchingCompatibility');
DeleteService('NetDDEdsdmseclogon');
DeleteService('mnmsrvcSamSs');
DeleteService('wscsvcPolicyAgent');
DeleteService('wscsvcDnscache');
DeleteService('TlntSvrRasAutolanmanserver');
DeleteService('TlntSvrRasAuto');
DeleteService('ThemesNetman');
DeleteService('TapiSrvSwPrv');
DeleteService('SwPrvRDSessMgr');
DeleteService('SENSseclogon');
DeleteService('SamSsMSDTC');
DeleteService('RSVPProtectedStorageRasMan');
DeleteService('oqttqpst');
DeleteService('rnqssotv');
DeleteService('Wintk50');
DeleteService('Winif36');
DeleteService('Winff25');
QuarantineFile('F:\WINDOWS\system32\drivers\rnqssotv.sys','');
QuarantineFile('F:\WINDOWS\System32\Drivers\Wintk50.sys','');
QuarantineFile('F:\WINDOWS\System32\Drivers\Winif36.sys','');
QuarantineFile('F:\WINDOWS\System32\drivers\Winff25.sys','');
QuarantineFile('F:\WINDOWS\system32\drivers\oqttqpst.sys','');
QuarantineFile('F:\WINDOWS\services.exe','');
QuarantineFile('F:\WINDOWS\msauc.exe','');
QuarantineFile('F:\WINDOWS\NMMLIDEJ.exe','');
QuarantineFile('F:\WINDOWS\iexplorer.exe','');
QuarantineFile('F:\WINDOWS\system32\lphcpt5j0e36o.exe','');
QuarantineFile('F:\WINDOWS\twain_1d.dll','');
DeleteFile('F:\WINDOWS\twain_1d.dll');
DeleteFile('F:\WINDOWS\system32\blphcpt5j0e36o.scr');
DeleteFile('F:\WINDOWS\system32\lphcpt5j0e36o.exe');
DeleteFile('F:\WINDOWS\iexplorer.exe');
DeleteFile('F:\WINDOWS\NMMLIDEJ.exe');
DeleteFile('F:\WINDOWS\msauc.exe');
DeleteFile('F:\WINDOWS\services.exe');
DeleteFile('F:\WINDOWS\System32\drivers\Winff25.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\Winif36.sys');
DeleteFile('F:\WINDOWS\System32\Drivers\Wintk50.sys');
DeleteFile('F:\WINDOWS\system32\drivers\rnqssotv.sys');
DeleteFile('F:\WINDOWS\system32\drivers\oqttqpst.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('FastUserSwitchingCompatibilitywuauservDhcp');
BC_DeleteSvc('FastUserSwitchingCompatibilitywuauserv');
BC_DeleteSvc('FastUserSwitchingCompatibilityEventSystem');
BC_DeleteSvc('dmserverWmi');
BC_DeleteSvc('DhcpThemes');
BC_DeleteSvc('COMSysAppMessenger');
BC_DeleteSvc('ATKKeyboardServiceBITS');
BC_DeleteSvc('AppMgmtSpooler');
BC_DeleteSvc('RSVPmnmsrvc');
BC_DeleteSvc('RpcLocatorPlugPlay');
BC_DeleteSvc('RasManSENSseclogon');
BC_DeleteSvc('RasManNetlogon');
BC_DeleteSvc('PlugPlaySamSs');
BC_DeleteSvc('Nlastisvc');
BC_DeleteSvc('NetmanWebClientProtectedStorage');
BC_DeleteSvc('NetmanWebClient');
BC_DeleteSvc('NetlogonSSDPSRV');
BC_DeleteSvc('NetDDEdsdmseclogonFastUserSwitchingCompatibility');
BC_DeleteSvc('NetDDEdsdmseclogon');
BC_DeleteSvc('mnmsrvcSamSs');
BC_DeleteSvc('wscsvcPolicyAgent');
BC_DeleteSvc('wscsvcDnscache');
BC_DeleteSvc('TlntSvrRasAutolanmanserver');
BC_DeleteSvc('TlntSvrRasAuto');
BC_DeleteSvc('ThemesNetman');
BC_DeleteSvc('TapiSrvSwPrv');
BC_DeleteSvc('SwPrvRDSessMgr');
BC_DeleteSvc('SENSseclogon');
BC_DeleteSvc('SamSsMSDTC');
BC_DeleteSvc('RSVPProtectedStorageRasMan');
BC_DeleteSvc('oqttqpst');
BC_DeleteSvc('rnqssotv');
BC_DeleteSvc('Wintk50');
BC_DeleteSvc('Winif36');
BC_DeleteSvc('Winff25');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Вложения
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('RSVPProtectedStorage');
QuarantineFile('F:\WINDOWS\system32\RSVPProtectedStorage.sys','');
DeleteFile('F:\WINDOWS\system32\RSVPProtectedStorage.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('RSVPProtectedStorage');
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer . Если он не запущен - запустите!!!
- Сделайте повторные логи начиная от п.10 правил.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
Junior Member
Вес репутации
57
Вложения
Пофиксите
Код:
O18 - Filter hijack: text/html - {53B95212-7D77-11D2-9F80-00104B107C97} - (no file)
Какие еще проблемы остались?