Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64

[yourzki]

Доброго времени суток! Буду краток - подцепил сегодня этот вирус, в итоге: wallpaper на десктопе с предупреждением Warning Win32/Adware.Virtumonde и Win32/PrivacyRemover.M64, фаил lphclaqj0e5ee.exe в автозагрузке.... скорее всего для Вас это уже знакомая проблема, поэтому всё остальное сможете увидеть в отчётах. Очень надеюсь на Вашу помощь, заранее спасибо!

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\PROGRA~1\SPYWAR~1\tools\iesdsg.dll (file missing)

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winfj04.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Fko16.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\beeper.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\lphclaqj0e5ee.exe','');
 DeleteFile('C:\WINDOWS\system32\blphclaqj0e5ee.scr');
 DeleteFile('C:\WINDOWS\system32\lphclaqj0e5ee.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\DRIVERS\beeper.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Fko16.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winfj04.sys');
BC_ImportDeletedList;
 BC_DeleteSvc('Winfj04');
 BC_DeleteSvc('tcpsr');
 BC_DeleteSvc('Fko16');
 BC_DeleteSvc('Beep');
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(13);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=29010).
Сделайте новые логи, начиная с п.10 правил.

[yourzki]

Спасибо. Сделал фикс и запустил скрипт, но по моему эти фаилы опять появились... то есть, после рестарта при соединении с интернетом что то их заного скачивает и прописывает в реестре и стартапе.. ещё эти странный 78.exe , 434.exe (номера могут быть любыми, запускаются через svchost.exe). Карантин закачал, новые логи приложил.

P.S. ах да, ещё в taks managere пропала шапка и все вкладки, остались видны только процессы... посмотреть другие вкладки невозможно.

[Rene-gad]

Выполните пункт 2 правил.

Скачайте IceSword , поищите и скопируйте файлы:

Код:

C:\WINDOWS\system32\Drivers\Winfj04.sys
C:\WINDOWS\system32\Drivers\Fko16.sys
'C:\WINDOWS\system32\WinCtrl32.dll
'C:\WINDOWS\system32\WinCtrl32.bak
'C:\WINDOWS\system32\WinCtrl32.dl_

Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
Потом удалите их с помощью force delete
Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('Winfj04');
 DeleteService('Fko16');
´QuarantineFile('C:\WINDOWS\system32\lphclaqj0e5ee.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Winfj04.sys','');
 QuarantineFile('C:\WINDOWS\System32\drivers\tcpsr.sys','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\Fko16.sys','');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('c:\windows\system32\drivers\78.exe','');
 DeleteFile('c:\windows\system32\drivers\78.exe');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('C:\WINDOWS\system32\Drivers\Fko16.sys');
 DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
 DeleteFile('C:\WINDOWS\system32\Drivers\Winfj04.sys');
 DeleteFile('C:\WINDOWS\system32\blphclaqj0e5ee.scr');
 DeleteFile('C:\WINDOWS\system32\lphclaqj0e5ee.exe');
BC_ImportAll;
ExecuteSysClean; 
BC_DeleteSvc('Winfj04');
BC_DeleteSvc('Fko16');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
-Проверьте, закрыты ли у Вас все программы кроме АВЗ и ИЕ и включите AVZPM.
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\services.exe - Trojan.Win32.Pakes.jrs (DrWEB: Trojan.Packed.573)
  2. c:\\windows\\system32\\drivers\\beeper.sys - Trojan.Win32.Pakes.dfh (DrWEB: Trojan.NtRootKit.1296)
  3. c:\\windows\\system32\\drivers\\tcpsr.sys - Trojan.Win32.Agent.mwo (DrWEB: Trojan.Siggen.66)
  4. c:\\windows\\system32\\lphclaqj0e5ee.exe - Backdoor.Win32.Frauder.bu (DrWEB: Trojan.Packed.619)
  5. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.azi (DrWEB: Trojan.Packed.573)