Показано с 1 по 18 из 18.

Warning! Win32/Adware.Virutmonde Win32/PrivacyRemover.M64 (заявка № 29108)

  1. #1
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57

    Exclamation Warning! Win32/Adware.Virutmonde Win32/PrivacyRemover.M64

    Кратко история "борьбы".
    Изначально было следующее:
    "На момент заражения стоял (и стоит) AVAST 4.8 HE и Search&Destroy. Оба сработали на заражение. AVAST'у было приказано удалить файлы носители, Destroy'ю не вносить изменения в реестр. Но, как видно, это не помогло. Логи обеих програм сохранились. ОС Win XP SP2 Pro"
    Далее:
    "При запуске AVZ со скриптом, программа доходит до эвристического анализа файлов и на проверке "Adware.BHO.Ruboskizo" вешает систему. Выход из зависания, только снятием питания."
    Затем:
    "с помощью AdAware2007 были удалены записи в реестре и картинка с рабочего стола."
    Ну и на сегодняшний день:
    "1. Запущен в стартапе Аваст с обновленной базой.
    2. Удалены все выявленые им файлы
    3. Запуск АВЗ с "мастером поиска и удаления проблем", пофиксены системные проблемы
    4. Перезагрузка и запуск АВЗ с отключенными Авастом и S&D по скрипту 3
    5. Перезагрузка
    После этого АВЗ нормально не запускается. При попытке выполнить скрипты или пустить мастер вешает систему и в обычном и сэйф моде. 6. Сделан лог HijackThis"
    Понимаю, что нет иформации после исправления ошибок, но это пока максимум, что смог добиться...
    Логи в едином архиве тут http://stream.ifolder.ru/7883194
    Основная проблема - непонятное поведение АВЗ. Получается, что на сегодняшний день я не могу выполнить даже скрипты и лечение.
    Заранее благодарен!
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 28.08.2008 в 11:28.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Скачайте отсюда: http://rapidshare.com/files/116949749/pingpong.pif.html Зто переименованный АВЗ, базы обновлять не надо.
    Если функции системы восстановятся, нужно будет пользоваться нормальным АВЗ и обновить базы.

    Spybot, Ad-Aware можете удалить со спокойной совестью. Они сегодня бесполезны, при нашем курсе лечения - вредны.

    Скачайте IceSword , поищите и скопируйте файлы:
    Код:
    C:\WINDOWS\System32\Drivers\Winek73.sys
    Скопированные с помощью IceSword файлы сохраните в карантине (Приложение 2 правил).
    Потом удалите их с помощью force delete
    Если Вы какие-то файлы не обнаружите - переходите к следующему шагу.

    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.
    -Пофиксите
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\oembios.exe,
    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('Winek73');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Winek73.sys','');
     QuarantineFile('C:\WINDOWS\services.exe','');
     QuarantineFile('C:\WINDOWS\system32\oembios.exe','');
     DeleteFile('C:\WINDOWS\system32\oembios.exe');
     DeleteFile('C:\WINDOWS\services.exe');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winek73.sys');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(1);
    ExecuteRepair(13);
    BC_DeleteSvc('Winek73');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
    - Прикрепите логи к новому сообщению.

  4. #3
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    После выполнения скрипта в АВЗ, комп на выходе из системы не перезагрузился. Было снято питание. Затем далее по списку, запуск АВЗ для создания логов. На эврестической проверке системы комп завис. Было снято питание. После загрузки и повторной попытки запуска АВЗ для создания логов, после нажатия кнопки выполнить скрипт (№3) комп завис.
    Подскажите что делать дальше? Спасибо!

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    делайте логи начиная с пункта 10 правил ...

  6. #5
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    Могу сделать только лог HijackThis и зип карантина. АВЗ вешает систему..., что скрипт 3, что 2... Видимо како-то системный сбой, но у меня нет опыта в его вычислении.

    Добавлено через 1 час 9 минут

    Лог HijackThis прикрепить не могу!?
    Последний раз редактировалось DguN; 29.08.2008 в 00:01. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Сделайте в безопасном режиме.

  8. #7
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    Так же виснет. И почему-то не получилось прикрепить лог HijackThis. Вроде все делал по написанному...
    ---
    Может есть еще способы проверить причину зависания. Есть "ощущение", что некорректно работает какой процесс в системе (возможно удален како-то файл). Нет ли в АВЗ дебагера с записью лога на вылете? Или попробовать посмотреть журнал событий XP?

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему
    5. Попытайтесь сделать логи
    Если удасться сделать, но не удастся прикрепить - напишите. Я Вам свое мыло дам, чтобы логи по почте послать.

  10. #9
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    В службах не удалось отключить Аваст, ни под администратором, никак. Удалось сделать логи только стандартного скрипта 2 и HijackThis. Скрипт 3 и в пингпонге и в обновленном АВЗ и в безопасном режиме и в обычном вешает систему в момент проведения эвристического анализа...
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    пофиксите ....
    Код:
    O9 - Extra button: (no name) - {9819CC0E-9669-4D01-9CD7-2C66DA43AC6C} - (no file)
    в чаво есть тема про удаление антивирусов .... доудалите касперского ...

  12. #11
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    Прошу прощения за долгое молчание, "вынужденный" отпуск.
    Строка пофиксена, ЧАВо по деинсталу KAV не помогло, т.к. стояла версия 5, но давно.
    Были удалены из системы: AdAware 2007, SpyBot и AVAST. AVZ продолжал вешать систему. В результате найден вариант позволивший получить все логи AVZ. Вариант следующий, запуск AVZ, запуск первого стандартного скрипта, затем запуск IE, затем запуск стандартного скрипта 3 (получен лог). Перезагрузка. Запуск AVZ, запуск первого стандартного скрипта, затем запуск IE, затем запуск стандартного скрипта 2 (получен лог). Запуск HiJackThis (получен лог). Только так удалось выполнить все требования...
    Вложения Вложения

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('ids0018a');
     DeleteService('ids00026');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids00026.sys');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Kaspersky Anti-Virus Personal\5.0\bases\ids0018a.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    virusinfo_syscheck.zip повторите

  14. #13
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    Скрипт выполнен при установленном AVAST. Лог смог получить только на условиях примечания...
    Примечание: При установленом AVAST не удается завершить процесс ashDisp.exe (отказано в доступе). Возможно, это одна из причин, которая не дает отработать AVZ. При удаленном AVAST, AVZ не вешает систему только после действий: Запуск AVZ, стандартный скрипт 1, запуск IE, стандартный скрипт 2 (получен лог)
    Вложения Вложения

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    В этом логе ничего подозрительного.
    1. Пуск/Выполнить... набрать msconfig, нажать клавишу ВВОД.
    2. В карточке Автозапуск - Все отключить
    3. В карточке Службы - Службы Windows не показывать, остальные отключить.
    4. Перегрузить систему,
    Сделайте остальные логи

  16. #15
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    Оставшиеся логи прикреплены.
    Вложения Вложения

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,100
    Вес репутации
    3023
    Ничего плохого.
    Сервис Пак 3 нужно поставить. Возможно потребуется активация системы.

  18. #17
    Junior Member Репутация
    Регистрация
    28.08.2008
    Сообщений
    9
    Вес репутации
    57
    Спасибо!

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 10
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) DguN, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Еще один Win32/Adware.Virutmonde Win32/PrivacyRemover.M64
      От Subtraktor в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:59
    2. Ответов: 9
      Последнее сообщение: 22.02.2009, 07:30
    3. Warning! Win32/Adware.Virutmonde Win32/PrivacyRemover.M64
      От aefr в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:30
    4. Тоже Warning! Win32/Adware.Virutmonde Win32/PrivacyRemover.M64
      От adn в разделе Помогите!
      Ответов: 0
      Последнее сообщение: 28.08.2008, 11:55
    5. Ответов: 3
      Последнее сообщение: 27.08.2008, 19:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00081 seconds with 20 queries