Win32/adware.virtumonde и Win32/PrivacyRemover

[Kset]

Здравствтуйте. Проблема, аналогичная http://virusinfo.info/showthread.php?t=30318
На моём рабочем столе появилось сообщение "Warning! Spyware detected on your computer
Win32/Adware.Virtumonde & Win32/PrivacyRemover.M64"
Проблема появилась после того, как принёс скопировал информацию с флэшкарты, которая, видимо была заражена(принёс с универа ).

Появился расход траффика, появилась заставка в виде перезагрузки и синего экрана смерти(вроде бы, как я понял).
Стоял антивирус нод 2 версии, ничего не нашёл. При проверки им жесткого диска компьютер перезагрузился. Скачал утилиту от Dr.Web - Cure IT!, попытался проверить в безопастном режиме, но при его загрузке компьютер перезагружается. Проверил в обычном режиме - он нашёл что-то, но после перезагрузки видимых результатов это не дало.
Заранее спасибо за оказанную помощь.

[V_Bond]

выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINXP\system32\ntos.exe','');
 DeleteService('RRRRRRRR');
 DeleteService('AppMgmt');
 QuarantineFile('C:\DOCUME~1\ПАПА\LOCALS~1\Temp\26.tmp','');
 DeleteService('Physical Memory Protector');
 QuarantineFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe','');
 DeleteService('Microsoft Internet Service');
 QuarantineFile('C:\WINXP\system32\drivers\RRRRRRRR.sys','');
 QuarantineFile('C:\WINXP\system32\itcadvapi.dll','');
 QuarantineFile('c:\winxp\system32\msservice.exe','');
 DeleteFile('C:\WINXP\system32\drivers\RRRRRRRR.sys');
 DeleteFile('c:\winxp\system32\msservice.exe');
 DeleteFile('H:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1015\svchost.exe');
 DeleteFile('C:\DOCUME~1\ПАПА\LOCALS~1\Temp\26.tmp');
 DeleteFile('C:\WINXP\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил
повторите логи

[Kset]

Спасибо.
Прощу прощения за долгий ответ.
Скрипт выполнил, обои\заставка исчезли
Неконтролируемый расход траффика остался + долго грузится антивирус(думаю это лечится его перестановкой).
Прикрепляю логи
Прошлый карантин прислал
Сейчас опять появился. Выслать?

[Rene-gad]

Нарушения правил при сборе информации для раздела Помогите.


- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.
- Не выключено системное восстановление.


Логи выполненные с нарушением правил, как не отображающие состояние системы и не дающие возможности, назначить правильное лечение, в дальнейшем рассматриваться не будут.
Повторите 3 лога в соответствии с правилами.
Спасибо за понимание.

[Kset]

Прошу прощения
Вот логи. Базы сегодняшние, восстановление отключил...

Ничего не сделано, поэтому сообщение проигнорировано.
- Не обновлены базы АВЗ. Обновите базы Файл/Обновление баз.

[Kset]

Всё ещё верю в вашу помощь
Свежие логи со свежими базами...

[Rene-gad]

Всё ещё верю в вашу помощь

Сорри, забыли о Вас.
Вопрос: в какой Галактике Вы живете?

Сканирование запущено в 10.01.2008 4:11:04 PM

Базы АВЗ так и не обновили, так мы работать не можем.

Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09

Системную дату установить
Обновить базы
Повторить логи.

[Kset]

Эм, простите, я просто стянул последнюю версию avz с офсайта(указанного у вас в правилах).
Думал что там последние базы. Сейчас всё будет.
Логи

вот
Системная дата вроде правильная о_О
1 октября 08

[Rene-gad]

Думал что там последние базы.

Не надо думать , достаточно прочитать правила

3. Распакуйте из архива Антивирусную утилиту AVZ и поместите в новую отдельную папку. Запустите AVZ и обновите базы ("Файл" => "Обновление баз"), после чего закройте AVZ.

Системная дата вроде правильная 1 октября 08

АВЗ дает 10 января 2008. Hijackthis - dito

Scan saved at 5:49:33 PM, on 10.01.2008

Вы дату где устанавливаете?

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

- Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
 QuarantineFile('C:\WINXP\TEMP\EA.tmp','');
 QuarantineFile('C:\WINXP\system32\drivers\amd64si.sys','');
 QuarantineFile('C:\WINXP\system32\itcadvapi.dll','');
 QuarantineFile('C:\WINXP\Temp\42.tmp','');
 QuarantineFile('C:\WINXP\Temp\56.tmp','');
 DeleteFile('C:\WINXP\Temp\56.tmp');
 DeleteFile('C:\WINXP\Temp\42.tmp');
 DeleteFile('C:\WINXP\system32\itcadvapi.dll');
 DeleteFile('C:\WINXP\system32\drivers\amd64si.sys');
 DeleteFile('C:\WINXP\TEMP\EA.tmp');
 DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('amd64si.sys');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 2 правил).
- Прикрепите логи к новому сообщению.

[Kset]

Дату устанавливаю стандартно
Панель управления -> Дата и время(или на значке в трее)

Подозрительные процессы не исчезли, трафик тоже вроде кушает, по немного.

После очищения темпа\кэша перезагружался после появления выбора пользователей при загрузке оси. Помогло выключение компьютера на некоторое время(магия какая-то О_О)

Прикрепляю логи, дальше загружу карантин

загрузил карантин

[Rene-gad]

Удалите Bonjour - в Чаво есть описание.
- Выполните скрипт

Код:

begin
 SetAVZPMStatus(true);
RebootWindows(true);
end.

После перезагрузки повторите логи.

Добавлено через 1 минуту

Помогло выключение компьютера на некоторое время(магия какая-то О_О)

Никакой магии - просто при ребуте RAM выгружается не полностью, это происходит только при полном отключении энергоснабжения на мин. 30 сек.

[Kset]

логи

[Kset]

Меня не забыли как в прошлый раз?

[V_Bond]

выполните скрипт

Код:

begin
ExecuteRepair(9);
RebootWindows(true);
end.

http://www.tksinc.us/downloads/WinsockXPFix.exe - попробуйте сбросить настройки ... затем сетевыйе настройки нужно будет ввести заново

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\internet explorer\\setupapi.dll - Trojan.Win32.Agent.aebd (DrWEB: Trojan.KeyLogger.2466)
  2. c:\\winxp\\temp\\ea.tmp - Trojan-Mailfinder.Win32.Small.af (DrWEB: Trojan.EmailSpy.13
  3. c:\\winxp\\temp\\42.tmp - Trojan-Mailfinder.Win32.Small.ae (DrWEB: Trojan.EmailSpy.137)
  4. c:\\winxp\\temp\\56.tmp - Trojan-Mailfinder.Win32.Small.ae (DrWEB: Trojan.EmailSpy.137)