Показано с 1 по 2 из 2.

Win32/Aware.Virtumonde and Win32/PrivacyRemover.M64 (заявка № 30294)

  1. #1
    Junior Member Репутация
    Регистрация
    16.09.2008
    Адрес
    Украина
    Сообщений
    1
    Вес репутации
    35

    Win32/Aware.Virtumonde and Win32/PrivacyRemover.M64

    Проблема с этими троянами , прошу помоч . Были:
    >> Заблокирована закладка Рабочий стол в окне свойств экрана
    >> Заблокирована закладка Заставка в окне свойств экрана
    >> Заблокирован пункт меню Справка и техподдержка
    , а также появилось предупреждение системы в виде заставки рабочего стола
    Прогнал через CureIt! и аваст после перезагрузки всё повторяется . Nod32 вроде помог , но закладки заблокированы . Хочу быть уверен на 100% что они были удалены , поэтому прошу вашей помощи
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Антивирус и Файрвол.
    - Системное восстановление.

    - Выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\drivers\Winwc51.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winsw15.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winnr61.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winko04.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winin38.sys','');
     QuarantineFile('C:\WINDOWS\System32\drivers\Winaf15.sys','');
     QuarantineFile('C:\Temp\loader.exe','');
     QuarantineFile('C:\Temp\.tt3A.tmp.exe','');
     QuarantineFile('WinCtrl32.dll','');
     DeleteService('BonjourRpcLocator');
     DeleteService('Browserose');
     DeleteService('DcomLaunchCOMSysApp');
     DeleteService('Dhcpwinmgmt');
     DeleteService('DhcpwinmgmtRSVP');
     DeleteService('ERSvcFontCache3.0.0.0');
     DeleteService('ERSvcFontCache3.0.0.0 Mobile Device');
     DeleteService('ERSvclanmanworkstationdmserver');
     DeleteService('ERSvcTlntSvr');
     DeleteService('EventSystemRemoteAccessRDSessMgr');
     DeleteService('FontCache3.0.0.0HidServ');
     DeleteService('idsvcW32Time');
     DeleteService('ImapiServiceW32Time');
     DeleteService('lanmanworkstationdmserver');
     DeleteService('MDMMSIServer');
     DeleteService('NetDDE Media Library Service');
     DeleteService('NetDDEdsdmidsvc');
     DeleteService('NtLmSspSharedAccess');
     DeleteService('NtLmSspSharedAccessaspnet_state');
     DeleteService('RasManHTTPFilter');
     DeleteService('RemoteAccessRDSessMgr');
     DeleteService('stisvcdmadmin');
     DeleteService('TapiSrvdmserver');
     DeleteService('TOSHIBATOSHIBA');
     DeleteService('UPSBrowser');
     DeleteService('usprservUPS');
     DeleteService('winmgmt Web Scanner');
     DeleteService('WmiApSrvRasAuto');
     DeleteService('WmiShellHWDetection');
     DeleteService('WMPNetworkSvcRasAuto');
     DeleteService('wuauserv Service');
     DeleteService('WZCSVCPolicyAgent');
     DeleteService('WZCSVCPolicyAgentxmlprovRpcSs');
     DeleteService('Winwc51');
     DeleteService('Winsw15');
     DeleteService('Winnr61');
     DeleteService('Winko04');
     DeleteService('Winjo05');
     DeleteService('Winin38');
     DeleteService('Winaf15');
     DeleteService('Bonjour Service');
     DeleteFile('C:\WINDOWS\system32\dns-sd.exe');
     DeleteFile('C:\Documents and Settings\All Users\Application Data\Apple\Installer Cache\Bonjour 1.0.104\Bonjour.msi');
     DeleteFile('c:\program files\bonjour\mdnsresponder.exe');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\Temp\.tt3A.tmp.exe');
     DeleteFile('C:\Temp\loader.exe');
     DeleteFile('C:\WINDOWS\System32\drivers\Winaf15.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winin38.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winjo05.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winko04.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winnr61.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\Winsw15.sys');
    BC_ImportAll;
    ExecuteSysClean;
    ExecuteRepair(5); 
     BC_DeleteSvc('BonjourRpcLocator');
     BC_DeleteSvc('Browserose');
     BC_DeleteSvc('DcomLaunchCOMSysApp');
     BC_DeleteSvc('Dhcpwinmgmt');
     BC_DeleteSvc('DhcpwinmgmtRSVP');
     BC_DeleteSvc('ERSvcFontCache3.0.0.0');
     BC_DeleteSvc('ERSvcFontCache3.0.0.0 Mobile Device');
     BC_DeleteSvc('ERSvclanmanworkstationdmserver');
     BC_DeleteSvc('ERSvcTlntSvr');
     BC_DeleteSvc('EventSystemRemoteAccessRDSessMgr');
     BC_DeleteSvc('FontCache3.0.0.0HidServ');
     BC_DeleteSvc('idsvcW32Time');
     BC_DeleteSvc('ImapiServiceW32Time');
     BC_DeleteSvc('lanmanworkstationdmserver');
     BC_DeleteSvc('MDMMSIServer');
     BC_DeleteSvc('NetDDE Media Library Service');
     BC_DeleteSvc('NetDDEdsdmidsvc');
     BC_DeleteSvc('NtLmSspSharedAccess');
     BC_DeleteSvc('NtLmSspSharedAccessaspnet_state');
     BC_DeleteSvc('RasManHTTPFilter');
     BC_DeleteSvc('RemoteAccessRDSessMgr');
     BC_DeleteSvc('stisvcdmadmin');
     BC_DeleteSvc('TapiSrvdmserver');
     BC_DeleteSvc('TOSHIBATOSHIBA');
     BC_DeleteSvc('UPSBrowser');
     BC_DeleteSvc('usprservUPS');
     BC_DeleteSvc('winmgmt Web Scanner');
     BC_DeleteSvc('WmiApSrvRasAuto');
     BC_DeleteSvc('WmiShellHWDetection');
     BC_DeleteSvc('WMPNetworkSvcRasAuto');
     BC_DeleteSvc('wuauserv Service');
     BC_DeleteSvc('WZCSVCPolicyAgent');
     BC_DeleteSvc('WZCSVCPolicyAgentxmlprovRpcSs');
     BC_DeleteSvc('Winwc51');
     BC_DeleteSvc('Winsw15');
     BC_DeleteSvc('Winnr61');
     BC_DeleteSvc('Winko04');
     BC_DeleteSvc('Winjo05');
     BC_DeleteSvc('Winin38');
     BC_DeleteSvc('Winaf15');
    executerepair(5);
    executerepair(6);
    executerepair(8);
    executerepair(9);
    executerepair(11);
    executerepair(16);
    executerepair(17);
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки:
    - Очистите темп-папки, кэш проводников и корзину.
    - Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
    - Сделайте повторные логи по правилам.
    - Включите Антвирус и Файрволл
    - Подключите ПК к интернету/локалке
    - Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы.
    - Прикрепите логи к новому сообщению.

  • Уважаемый(ая) n0okee, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/Aware.Virtumonde - Win32/PrivacyRemover.M64
      От Loft в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 08:04
    2. Ответов: 5
      Последнее сообщение: 22.02.2009, 07:58
    3. Ответов: 29
      Последнее сообщение: 22.02.2009, 07:30
    4. Ответов: 17
      Последнее сообщение: 22.02.2009, 07:23
    5. Ответов: 3
      Последнее сообщение: 16.09.2008, 14:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00077 seconds with 17 queries