Показано с 1 по 19 из 19.

Adware.virtumonde и PrivacyRemover.m64 (заявка № 31307)

  1. #1
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35

    Adware.virtumonde и PrivacyRemover.m64

    Многим знакомое сообщение системы. Прошу помочь в лечении.
    Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\ntfsours.exe','');
     QuarantineFile('C:\WINDOWS\system32\locale.exe','');
     QuarantineFile('C:\WINDOWS\system32\kavo.exe','');
     QuarantineFile('C:\WINDOWS\iexplorer.exe','');
     DeleteService('NRPSWQUP');
     QuarantineFile('C:\WINDOWS\system32\drivers\NRPSWQUP.sys','');
     DeleteService('VVVNZJJR');
     QuarantineFile('C:\WINDOWS\system32\drivers\VVVNZJJR.sys','');
     DeleteService('psyche');
     QuarantineFile('C:\WINDOWS\System32\psyche.exe','');
     QuarantineFile('c:\windows\winudpmgr.exe','');
     TerminateProcessByName('c:\windows\winudpmgr.exe');
     QuarantineFile('c:\windows\system32\update32.exe','');
     TerminateProcessByName('c:\windows\system32\update32.exe');
     QuarantineFile('c:\windows\system32\lphc7d3j0e99v.exe','');
     TerminateProcessByName('c:\windows\system32\lphc7d3j0e99v.exe');
     DeleteFile('c:\windows\system32\lphc7d3j0e99v.exe');
     DeleteFile('c:\windows\system32\update32.exe');
     DeleteFile('c:\windows\winudpmgr.exe');
     DeleteFile('C:\WINDOWS\system32\blphc7d3j0e99v.scr');
     DeleteFile('C:\WINDOWS\System32\psyche.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\VVVNZJJR.sys');
     DeleteFile('C:\WINDOWS\system32\drivers\NRPSWQUP.sys');
     DeleteFile('C:\WINDOWS\iexplorer.exe');
     DeleteFile('C:\WINDOWS\system32\kavo.exe');
     DeleteFile('C:\WINDOWS\system32\locale.exe');
     DeleteFile('C:\WINDOWS\system32\ntfsours.exe');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    ExecuteRepair(5 );
    ExecuteRepair(6 );
    ExecuteRepair(11 );
    ExecuteRepair( 17);
    RegKeyStrParamWrite('HKEY_USERS','.DEFAULT\Control Panel\Desktop','Wallpaper','');
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

  4. #3
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    Предупреждение со стола исчезло.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
     DelBHO('{db9d7a78-a76c-4bf2-97c6-258925ee1542}');
     QuarantineFile('C:\WINDOWS\poaijoam.exe','');
     DeleteService('tcpsr');
     SetServiceStart('tcpsr', 4);
     SetServiceStart('tvjtqtto', 4);
     DeleteService('ati5cjxx');
     SetServiceStart('ati5cjxx', 4);
     DeleteService('MSDTCseclogon');
     SetServiceStart('MSDTCseclogon', 4);
     StopService('MSDTCseclogon');
     QuarantineFile('C:\WINDOWS\system32\wpv817.cpx','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\ati5cjxx.sys','');
     QuarantineFile('C:\WINDOWS\system32\drivers\tvjtqtto.sys','');
     TerminateProcessByName('c:\windows\system32\rs32net.exe');
     QuarantineFile('c:\windows\system32\rs32net.exe','');
     TerminateProcessByName('c:\windows\faceback.exe');
     QuarantineFile('c:\windows\faceback.exe','');
     DeleteFile('c:\windows\faceback.exe');
     DeleteFile('c:\windows\system32\rs32net.exe');
     DeleteFile('C:\WINDOWS\system32\drivers\tvjtqtto.sys');
     DeleteFile('C:\WINDOWS\system32\wpv817.cpx');
     DeleteFile('C:\WINDOWS\System32\Drivers\ati5cjxx.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\poaijoam.exe');
     DeleteFile('winudpmgr.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    ExecuteRepair(9);
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  6. #5
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    при запуске скрипта происходит сбой во время выполнения программы и перезагрузка системы.

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    давайте новые логи ...

  8. #7
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    При попытке получить логи происходит перезагрузка. Скрипт прошел нормально, прошу прощения, что ввел в заблуждение.
    Пытался 4 раза, продолжу если нужно, но завтра.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    если не получится первый лог , делайте два оставшихся

  10. #9
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    Если долго мучиться ......
    Высылаю три.
    Вложения Вложения

  11. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачайте C:\WINDOWS\system32\Drivers\ati5cjxx.sys - force delete
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\ORFNRAGA.exe','');
     DeleteService('tcpsr');
     DeleteService('ati5cjxx');
     DeleteFile('C:\WINDOWS\system32\Drivers\ati5cjxx.sys');
     DeleteFile('C:\WINDOWS\System32\drivers\tcpsr.sys');
     DeleteFile('C:\WINDOWS\ORFNRAGA.exe');
     DeleteFile('msansspc.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  12. #11
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    Скрипт не идет. Сообщение: " Ошибка скрипта: " '.' expected, позиция[16:1]"

    Добавлено через 3 минуты

    Прошу подробнее насчет пункта " Скачать ....."
    Последний раз редактировалось za2ra3a; 04.10.2008 в 18:16. Причина: Добавлено

  13. #12
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    1 http://virusinfo.info/showthread.php?t=17228
    2 скрипт правильный копируйте аккуратно

  14. #13
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    Force deiete, при помощи IceAword, для указаного файла выполнил.
    Скрипт не проходит, выдает сообщение об уже упомянутой ошибке.

  15. #14
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    Force deiete, при помощи IceSword, для указаного файла выполнил.
    Скрипт не проходит, выдает сообщение об уже упомянутой ошибке.

  16. #15
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    Не может быть такой ошибки, скрипт правильный, копируйте аккуратнее....

  17. #16
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    Копировал все время одинаково, но на этот раз прошло.
    Вложения Вложения

  18. #17
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1786
    пофиксите
    Код:
    R3 - URLSearchHook: (no name) - - (no file)
    O2 - BHO: (no name) - {D88E1558-7C2D-407A-953A-C044F5607CEA} - (no file)
    В логах чисто. жалобы есть?
    Последний раз редактировалось V_Bond; 04.10.2008 в 23:27.

  19. #18
    Junior Member Репутация
    Регистрация
    01.10.2008
    Сообщений
    10
    Вес репутации
    35
    Пофиксил, жалоб, на первый взгляд нет.
    Большое спасибо за заботу!

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 53
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\faceback.exe - Trojan-Downloader.Win32.Agent.ajzv (DrWEB: Trojan.DownLoad.6099)
      2. c:\\windows\\system32\\drivers\\tvjtqtto.sys - Rootkit.Win32.Pakes.f (DrWEB: Trojan.Sentinel.based)
      3. c:\\windows\\system32\\lphc7d3j0e99v.exe - Trojan-Downloader.Win32.Small.aeeo (DrWEB: Trojan.Fakealert.1321)
      4. c:\\windows\\system32\\rs32net.exe - Trojan.Win32.Agent.afgx (DrWEB: BackDoor.Bulknet.237)
      5. c:\\windows\\system32\\update32.exe - Trojan-Downloader.Win32.Small.aekp (DrWEB: Trojan.DownLoad.5237)
      6. c:\\windows\\system32\\wpv817.cpx - Backdoor.Win32.IRCBot.gdb (DrWEB: BackDoor.IRC.Nite.1
      7. c:\\windows\\winudpmgr.exe - Backdoor.Win32.IRCBot.gdf (DrWEB: BackDoor.IRC.Sdbot.3654)


  • Уважаемый(ая) za2ra3a, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win 32/Adware.virtumonde И Win/Privacyremover.m 64
      От crashen в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 22.02.2009, 07:52
    2. Adware.Virtumonde & PrivacyRemover.M64
      От vipar в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 07:22
    3. Adware.Virtumonde, PrivacyRemover.M64
      От timur_v в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 07:15
    4. AdWare Virtumonde и PrivacyRemover M64
      От sadbadger в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.09.2008, 23:50
    5. Adware.Virtumonde, PrivacyRemover.M64
      От timur_v в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.08.2008, 01:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01296 seconds with 17 queries