Вирус win32/Adware.Virtumonde

[Nort]

На компе завелся вирус с одноименным названием. Очень надеюсь на Вашу помощь.

[Aleksandra]

Скачайте IceSword. Запустите, слева внизу нажмите File, затем найдите:

C:\WINDOWS\system32\WinCtrl32.dll
C:\WINDOWS\System32\Drivers\Winip44.sys

и сделайте им Force Delete.

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteService('Winug02');
 DeleteService('Winrr88');
 DeleteService('Winpn22');
 DeleteService('Winnh44');
 DeleteService('Winbg55');
 DeleteService('Winbf11');
 DeleteService('Winip44');
 DeleteService('WZCSVCwinmgmt');
 DeleteService('WudfSvclanmanworkstation');
 DeleteService('VSSLmHostsupnphostBrowserMSIServer');
 DeleteService('VSSLmHosts');
 DeleteService('upnphostBrowserMSIServer');
 DeleteService('ThemesNVSvc');
 DeleteService('TapiSrvwscsvcAppMgmt');
 DeleteService('TapiSrvwscsvc');
 DeleteService('seclogonwuauserv');
 DeleteService('SamSsLmHostsSamSsLmHosts');
 DeleteService('SamSsLmHosts');
 DeleteService('RDSessMgrwscsvcSchedule');
 DeleteService('RDSessMgrwscsvc');
 DeleteService('PlugPlayCiSvc');
 DeleteService('MicrosoftPlugPlayCiSvcBrowserRasMan');
 DeleteService('MicrosoftPlugPlayCiSvc');
 DeleteService('MicrosoftHidServ');
 DeleteService('DnscacheAlerter');
 DeleteService('dmserverAppMgmt');
 DeleteService('BrowserRasMan');
 DeleteService('BrowserMSIServer');
 DeleteService('AlerterProtectedStorage');
 QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
 QuarantineFile('C:\WINDOWS\system32\blphcnb0j0ej6r.scr','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winug02.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winrr88.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winpn22.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winnh44.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbg55.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winbf11.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\Winip44.sys','');
 QuarantineFile('srv.exe','');
 DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winip44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbf11.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winbg55.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winnh44.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winpn22.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winrr88.sys');
 DeleteFile('C:\WINDOWS\System32\Drivers\Winug02.sys');
 DeleteFile('C:\WINDOWS\system32\blphcnb0j0ej6r.scr');
 DelWinlogonNotifyByKeyName('WinCtrl32');
 BC_ImportAll;
 ExecuteSysClean;
 BC_DeleteSvc('Winug02');
 BC_DeleteSvc('Winrr88');
 BC_DeleteSvc('Winpn22');
 BC_DeleteSvc('Winnh44');
 BC_DeleteSvc('Winbg55');
 BC_DeleteSvc('Winbf11');
 BC_DeleteSvc('Winip44');
 BC_DeleteSvc('WZCSVCwinmgmt');
 BC_DeleteSvc('WudfSvclanmanworkstation');
 BC_DeleteSvc('VSSLmHostsupnphostBrowserMSIServer');
 BC_DeleteSvc('VSSLmHosts');
 BC_DeleteSvc('upnphostBrowserMSIServer');
 BC_DeleteSvc('ThemesNVSvc');
 BC_DeleteSvc('TapiSrvwscsvcAppMgmt');
 BC_DeleteSvc('TapiSrvwscsvc');
 BC_DeleteSvc('seclogonwuauserv');
 BC_DeleteSvc('SamSsLmHostsSamSsLmHosts');
 BC_DeleteSvc('SamSsLmHosts');
 BC_DeleteSvc('RDSessMgrwscsvcSchedule');
 BC_DeleteSvc('RDSessMgrwscsvc');
 BC_DeleteSvc('PlugPlayCiSvc');
 BC_DeleteSvc('MicrosoftPlugPlayCiSvcBrowserRasMan');
 BC_DeleteSvc('MicrosoftPlugPlayCiSvc');
 BC_DeleteSvc('MicrosoftHidServ');
 BC_DeleteSvc('DnscacheAlerter');
 BC_DeleteSvc('dmserverAppMgmt');
 BC_DeleteSvc('BrowserRasMan');
 BC_DeleteSvc('BrowserMSIServer');
 BC_DeleteSvc('AlerterProtectedStorage');
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=29253

3. Повторите логи.

[Nort]

Выполнил выше описанные действия, файл с карантином отправил.

[Aleksandra]

Я логов не вижу.

[Nort]

Извиняюсь, последнюю строчку не заметил. Прикладываю новые логи.

[Aleksandra]

Ничего зловредного в логах нет.

Пофиксите в HijackThis:

O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\

9. Мастер поиска и устранения проблем
>> Заблокирована закладка Рабочий стол в окне свойств экрана
>> Заблокирована закладка Заставка в окне свойств экрана
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей

Устраняется в AVZ: "Файл" -> "Мастер поиска и устранения проблем" -> нажать "Пуск".
В найденных проблемах отметить их и нажать "Исправить отмеченные проблемы".

[Nort]

Все сделал в точности как Вы сказали. Прикладываю логи. (Вирусная обоина почему то осталась на месте, ее надо ручками удалить, или еще процесс завершен не до конца?)

[Rene-gad]

Отключите
- Системное восстановление.

- Выполните скрипт

Код:

begin
executerepair(5);
executerepair(6);
executerepair(8);
RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
RebootWindows(true);
end.

После перезагрузки проинформируйте о состоянии ПК.

[Nort]

Работает все отлично. Но на всякий случай прикладываю логи. Огромное Вам спасибо Александра , спасибо Ренегад.

[Rene-gad]

Удалите Ad-Aware за бесполезностью.
Поставьте Сервис Пак 3, возможно потребуется активация системы.

[Nort]

Ad-Aware удалил, а вот sp3 почему то не хочет ставиться, выскакивает такая ошибка: "Диспетчеру установки не удалось проверить целостность файла Update.inf. Убедитесь, что службы криптографии запущены на данном компьютере".
Проверил, служба криптографии работает, а вот ошибка все равно выскакивает. Может еще что то надо сделать?
Качал сп3 с микрософт.ру (WindowsXP-KB936929-SP3-x86-RUS.exe), так что файл, вроде как, не должен быть битым.

[Rene-gad]

Проверил, служба криптографии работает, а вот ошибка все равно выскакивает.

Автозапуск стоит? Пуск/Выполнить... набрать cmd + ВВОД, набрать net stop cryptsvc +ВВОД
Потом набрать ren %systemroot%\system32\catroot2 oldcatroot2
Перезапуститься, попробовать повторить установку.
Антивирус и др. резидентные проги выгрузить, ставить в оффлайне.

[Nort]

Сделал как Вы сказали и вот что получилось:

1. C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
C:\Documents and Settings\Nick>

Перезагрузился, сп3 вылетело с той же ошибкой


2. Попробовал еще раз:
C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
Отказано в доступе.

Дальше пробовать не стал. А вообще, до этого, у меня служба криптографии стояла на автозапуске.

[Rene-gad]

Войдите в безопасном как Администратор. Удалите после net stop cryptsvc папку C:\WINDOWS\system32\CatRoot2 в проводнике со всем ее содержимым. Перегрузитесь.

[Nort]

Результат такой:

C:\Documents and Settings\Nick>net stop cryptsvc
Служба "Службы криптографии" останавливается.
Служба "Службы криптографии" успешно остановлена.
C:\Documents and Settings\Nick>ren %systemroot%\system32\catroot2 oldcatroot2
Не удается найти указанный файл.

Установка сп3 прерывается с той же ошибкой. Может просто потому, что винда левая и не проходит тест на вшивость?

[Rene-gad]

Может просто потому, что винда левая и не проходит тест на вшивость?

А чего Вы сразу не сказали, что левая ?

[Nort]

Извиняюсь, просто не посчитал нужным т.к. в России, по-моему, 1% использует лицензию.
Тогда, похоже, вопрос с установкой сп3 можно считать закрытым

Спасибо за помощь, и потраченное на меня время.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 21
• В ходе лечения вредоносные программы в карантинах не обнаружены