Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 22.

Прошу помочь: Win32/Adware.VirtuMonde,..., /PrivacyRemover.M64 (заявка № 31391)

  1. #1
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34

    Exclamation Прошу помочь: Win32/Adware.VirtuMonde,..., /PrivacyRemover.M64

    Уважаемые господа !
    Несколько дней назад после загрузки появилось сообщение от Windows:
    1.Windows Warning Message !...
    Win32/Adware.Virtumonde
    Win32/PrivacyRemover.M64
    ... clean your computer.

    С этим сообщением можно было работать.
    2.При работе в Интернете через некоторое время появляется сообщение: Internet Explorer. Обнаружена ошибка. Приложение закрывается... Если это сообщение не активировать (посылать/не посылать сообщение) можно было продолжить работу.
    3. Далее. При отсутствии активности в течении нескольких минут появлялся синий экран... С рекомендациями загрузки в безопасном режиме...
    4. Часто появлялись сообщения типа: "Инструкция по адресу... обратилась по адресу... Память не может быть Read.

    Использую антивирус NOD32.

    Прочитал Правила. Сделал все как сказали (вроде) (AVP проверял комп 6.5 часов, нашел 44 вируса, удалил. Без толку.).

    Прошу помочь, т.к. много программ и не хотелось бы их снова инсталлировать.
    Вложения Вложения
    Последний раз редактировалось Vic; 03.10.2008 в 16:53.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('msansspc.dll','');
     QuarantineFile('C:\WINDOWS\system32\twext.exe','');
     DeleteService('Windi48');
     DeleteService('Wineh03');
     DeleteService('Winej37');
     DeleteService('Winii60');
     DeleteService('Winmh00');
     DeleteService('Winnl31');
     DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
     QuarantineFile('C:\WINDOWS\TEMP\303.tmp','');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Windi48.sys','');
     DeleteService('Upu12');
     QuarantineFile('C:\WINDOWS\System32\Drivers\Upu12.sys','');
     DeleteFile('C:\WINDOWS\System32\Drivers\Upu12.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windi48.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wineh03.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winej37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winii60.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winmh00.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnl31.sys');
     DeleteFile('C:\WINDOWS\TEMP\303.tmp');
     DeleteFile('C:\WINDOWS\system32\blphcjo1j0et1a.scr');
     DeleteFile('C:\WINDOWS\system32\twext.exe');
     DeleteFile('msansspc.dll');
    BC_ImportDeletedList;
    ExecuteRepair(5);
    ExecuteRepair(6);
    ExecuteRepair(8);
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Карантин отправил.
    Замечу, что после выполнения скрипта пошла перезагрузка системы.
    Что такое "повторите логи" не совсем понял. Новую проверку компа не делал.
    Выслать старые логи не получилось.
    Спасибо.

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    перезагрузка предусматривалась скриптом
    новые логи - это логи полученные в результате повторной проверки ....

  6. #5
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от V_Bond Посмотреть сообщение
    перезагрузка предусматривалась скриптом
    новые логи - это логи полученные в результате повторной проверки ....
    Повторил. После первого этапа ("Скрипт лечения/карантина и сбора информации для раздела...") комп на этапе перезагрузки завис. Перезагружал ресетом.
    Логи прилагаю.
    Спасибо.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1500
    Panda - была установлена
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
     DeleteFile('C:\WINDOWS\TEMP\303.tmp');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.

  8. #7
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Спасибо. Только отправил Вам спасибо (экран не стал синим за 30 минут при отсутствии активности)...
    И снова: Internet Explorer - обнаружена ошибка. Приложение будет закрыто. Приносим извинения...
    Т.е. как и было до лечения.

    Помогите, плиз.

    P.S. Как только я кликнул это сообщение (отправлять/не отправлять) Интерент отрубился. Вот это сообщение снова появилось (пока я пишу этот текст).

    Добавлено через 9 часов 44 минуты

    Только что после загрузки появилось сообщение от антивируса NOD32:
    "Win32/Mebroot троянская программа. Очистка невозможна".

    Прошу помочь. Спасибо.
    Последний раз редактировалось Vic; 04.10.2008 в 10:17. Причина: Добавлено

  9. #8
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Выполните полную проверку CureIT...

  10. #9
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от Гриша Посмотреть сообщение
    Выполните полную проверку CureIT...
    Снова ? Я уже ее делал раз 10.
    Правда после выполнения скриптов не делал.

  11. #10
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    Только что после загрузки появилось сообщение от антивируса NOD32:
    "Win32/Mebroot троянская программа. Очистка невозможна".
    Нод буткита не умеет лечить,а курит умеет...

  12. #11
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от Гриша Посмотреть сообщение
    Нод буткита не умеет лечить,а курит умеет...
    Спасибо. Запустил.
    Быстрая проверка нашла BackDoor.MaosBoot - "обезврежен".
    Идет полная проверка.

    Добавлено через 5 часов 47 минут

    Цитата Сообщение от Гриша Посмотреть сообщение
    Нод буткита не умеет лечить,а курит умеет...
    Выполнил полностью Curelt от Dr.Web.
    Был обезврежен процесс в памяти BackDoor.MaosBoot и удалена троянская программа из карантина AVZ.
    Через некоторое время: "Internet Explorer -обнаружена ошибка. Приложение будет закрыто". Если по нему кликнуть IE сразу сбрасывается.
    Помогите, пожта !
    Последний раз редактировалось Vic; 04.10.2008 в 16:40. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Очистите темп-папки, кэш проводников и корзину. потом повторите логи по правилам.

  14. #13
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Очистите темп-папки, кэш проводников и корзину. потом повторите логи по правилам.
    Спасибо.
    Все выполнил(глючил инет, отвечаю только сейчас). Периодически всплывает Mebroot и осталось появляющееся сообщение о закрытии IE.
    Новые логи прилагаю.
    Прошу помочь.
    Вложения Вложения

  15. #14
    Expert Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.03.2008
    Сообщений
    14,832
    Вес репутации
    1785
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

    Код:
    begin
    ClearQuarantine;    
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\TEMP\303.tmp','');
     DeleteService('{DEF85C80-216A-43ab-AF70-1665EDBE2780}');
     DeleteFile('C:\WINDOWS\TEMP\303.tmp');
    BC_ImportALL;
    ExecuteSysClean;
    BC_DeleteSvc('{DEF85C80-216A-43ab-AF70-1665EDBE2780} ');
    BC_Activate;
    RebootWindows(true);
    end.
    Пришлите карантин по правилам и повторите логи...

    Периодически всплывает Mebroot
    Это как, час есть, час нету?

    сообщение о закрытии IE
    Скачайте дистрибутив IE и накатите поверх...

  16. #15
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от Гриша Посмотреть сообщение
    Пришлите карантин по правилам и повторите логи...
    ..
    Все повторил. Высылаю.
    Прошу помочь.

    Переотправил карантин.
    Прошу помочь.
    За время работы снова появилось сообщение:
    "Память по адресу 0х7с911f52 обратилась по адресу 0x00000f8d. Память не может быть read.

    Уважаемые эксперты !

    Спасибо. Стало лучше.

    При этом по-прежнему возникает
    1. "IE обнаружил ошибку и закрывается"...
    2. инструкция по адресу ... обратилась к памяти по адресу...

    Вновь повторил:
    1. Curelt Dr.Web
    2. AVP
    Вирусов и подозрит. файлов не найдено.
    После этого запустил AVZ. Тоже ничего не найдено.
    Файлы прилагаю.
    Прошу помочь.

    P.S. Похоже зараза сидит глубоко: полгода назад переустанавливал Windows, а толку мало. Симптомы были такие же.
    Забыл: после выполнения первого этапа перезагрузка не пошла. Только Reset.

    Цитата Сообщение от Гриша Посмотреть сообщение
    Скачайте дистрибутив IE и накатите поверх...
    Подскажите, пожта, где его взять и как это сделать.
    Вложения Вложения
    Последний раз редактировалось Rene-gad; 10.10.2008 в 11:47.

  17. #16

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Vic Посмотреть сообщение
    Похоже зараза сидит глубоко: полгода назад переустанавливал Windows, а толку мало. Симптомы были такие же.
    Может железо барахлит?

  19. #18
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Гриша, pig, Rene_gad: большое спасибо.

    IE переустановил, используя ссылку. Часа три было все ОК. Потом снова "IE - обнаружена ошибка".

    Железо ? Может быть: полгода назад менял винч при почти аналогичных симптомах.

    После Ваших рекомендаций стало значительно лучше. Однако осталось:
    - IE - обнаружена ошибка. Приложение будет закрыто(если кликнуть, то все сайты закрываются, если не кликать работать можно);
    - пару раз NOD32 говорил о нейтрализации Mebroot (проверка AVPTool и Curelt ничего не выявила).
    У меня ощущение, что это может быть связано с инетом. Беспроводка ? Хотя в ней еще три компа. У одного из них пробелм вообще не бывает (пока). У меня маршрутизатор Zyxel P-660 HTW EE.
    Помогите, пожалуйста, разобраться и устранить зловреда.
    Последний раз редактировалось Vic; 11.10.2008 в 10:08.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от Vic Посмотреть сообщение
    Помогите, пожалуйста, разобраться и устранить зловреда.
    Очень трудно искать в темной комнате черную кошку, заведомо зная, что ее там нет (с). Какого зловреда предлагаете ловить?

  21. #20
    Junior Member Репутация
    Регистрация
    03.10.2008
    Сообщений
    10
    Вес репутации
    34
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Очень трудно искать в темной комнате черную кошку, заведомо зная, что ее там нет (с). Какого зловреда предлагаете ловить?
    Насчет "темной комнаты и кошки" согласен абсолютно.
    Если бы я знал кого и как ловить...
    Обратился к Вам как к профессионалам высокого класса.
    Почему обратился ? Потому что знаю, что тупая переустановка системы не приведет к желаемому результату: 3 месяца/полгода все будет ОК, а потом "повторение пройденного".

    Говоря непрофессионально (имею ввиду себя): после всех проверок остался ведь Mebroot (очень редко) и "IE закрывается" (значительно чаще). Значит "кто-то там сидит".

    Может быть как-то снова повторить все шаги ?
    Помогите, пожалуйста.

  • Уважаемый(ая) Vic, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Win32/Adware.Virtumonde и PrivacyRemover.M64
      От Kablam в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 08:26
    2. Win32/Adware.Virtumonde и PrivacyRemover.M64
      От ZlukO в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 07:16
    3. Win32/Adware.Virtumonde и PrivacyRemover.M64
      От Апельсин'ка в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 22.02.2009, 07:15
    4. Win32/Adware.Virtumonde и PrivacyRemover.M64
      От Лёшик в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.10.2008, 16:08
    5. О Win32/Adware.VirtuMonde,..., /PrivacyRemover.M64
      От oncelost в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 10.10.2008, 16:31

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01310 seconds with 17 queries