Показано с 1 по 17 из 17.

ПОМОГИТЕ! Trojan.Virtumod + в IE всплывают окна с сайтами! (заявка № 10244)

  1. #1
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62

    Exclamation ПОМОГИТЕ! Trojan.Virtumod + в IE всплывают окна с сайтами!

    Помогите избавится от Trojan.Virtumod ДокторВеб нашел его и пишет, что после рестарта удалит, но он заново после перезагрузки находит троян!

    файлы: fccdcay.dll и mljjh.dll (находятся в C:\WINDOWS\system32)

    Так же в интернет эксплорере всплывают окна и предупреждение что мол комп плохо работает и скачать ВинАнтивирус!

    вот некторые из сайтов, которые всплывают:

    winantivirus.com/download/2007/index.php?aid=nm_ik_russia_ru_ru_ed2&lid=keyin&aff id=nm_67580_c04fe486150f11dc8b3f003048895bfc_9ce6a a7c+b82a4ed5209947cc98b87fee078f94f6&ax=1&p=&ex=1

    suppcons.info/cgi-bin/ko35em8w.cgi?name=brb


    Так же мне кажется комп стал медленнее работать и инет!
    Последний раз редактировалось Alex_Goodwin; 11.06.2007 в 01:56.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В программе Hijackthis пофиксите строчки:
    Код:
    O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_28.dll
    O23 - Service: Syscheck - Unknown owner - C:\WINDOWS\csrss.exe (file missing)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
     QuarantineFile('C:\WINDOWS\system32\tmp_28.dll','');
     QuarantineFile('C:\WINDOWS\system32\mljjh.dll','');
     QuarantineFile('C:\WINDOWS\system32\fccdcay.dll','');
     DeleteFile('C:\WINDOWS\system32\tmp_28.dll');
     DeleteFile('C:\WINDOWS\csrss.exe');
     DeleteFile('C:\WINDOWS\system32\mljjh.dll');
     DeleteFile('C:\WINDOWS\system32\fccdcay.dll');
    BC_Importall;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10244 , как написано в прил.3 правил , и сделайте новые логи, начиная с п. 10 правил

  4. #3
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    Только я наоборот сделал, с начала скан с перезагрузкой AVZ, а потом Хиджаком фиксил (только одну строку нашел, помойму О20), потом карантин сделал и отправил по ссылке, и далаее сделал 2 отчета virusinfo_syscheck.zip и hijackthis.log, которые прикладываю к этому сообщению!
    Последний раз редактировалось vdby; 08.06.2007 в 02:24.

  5. #4
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    прикрепил вроде файлы!

  6. #5
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    что-то не появляются в этом сообении мои файлы вложенные!((
    Пишут
    vdby, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
    1. Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
    2. Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.

  7. #6
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    А письмо авторизации не приходит(( что делать? и у меня поэтому нет прав на добавление файлов. пришлите письмо с юрл!

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Интересно. Вы пытаетесь добавить вложение через меню "Опции темы"-"Управление вложениями"?

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Может это из-за репутации Упала на ноль без вынесения предупреждений со стороны модераторов.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2292
    Единственное, что я могу предположить, у вас был указан неправильный ящик.
    Хотя, в первый раз вы вложили ведь без проблем? Попробуйте удалить старые.

    Да, у вас статус стоит "Users Awaiting Email Confirmation"

    Похоже на проблемы у mail.ru с нашим доменом virusinfo.info

    Активировал вручную.

  11. #10
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    Прикрепил файлы..карантин вчера высылал...заранее спасибо за помощь)

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    В присланном: C:\WINDOWS\system32\mljjh.dll, C:\WINDOWS\system32\fccdcay.dll - Trojan.Virtumod (по DrWeb) но это вы и так знали. В программе Hijackthis пофиксите строчки:
    Код:
    O2 - BHO: (no name) - {1446ADA5-6E25-4A7A-97F3-B8DC7A33EA7C} - C:\WINDOWS\system32\mljjh.dll (file missing)
    O2 - BHO: (no name) - {E5225210-F293-40FE-BB2F-D5A3C7F13C47} - C:\WINDOWS\system32\fccdcay.dll (file missing)
    O20 - Winlogon Notify: mljjh - C:\WINDOWS\
    Просмотрел я вчера один файл В программе AVZ выполните скрипт:
    Код:
    begin
    Clearquarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\system32\dsefg.exe','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, снова загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10244

  13. #12
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    Все сделал! карантин выслал.
    всеравно вылезает окно эксплорера с сайтом suppcons.info/cgi-bin/ko35em8w.cgi?name=brb

    Я заметил , что когда открываю новое окно эксплорера, то он лезет с начала на какойто сайт с айпишником начинающимся с 80. или 88. не успеваю глянуть..так как инет быстрый))

    Да и доктор веб больше не видит Virtua.mod, но я не проверял всю систему, а проверку первоначальную, при запуске доктор веба
    Последний раз редактировалось Alex_Goodwin; 11.06.2007 в 01:57.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Давайте удалять и этот последний - слишком многие на него ругаются:
    Код:
    AntiVir	7.4.0.32	06.08.2007	HEUR/Malware
    Authentium	4.93.8	05.23.2007	Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
    DrWeb	4.33	06.08.2007	DLOADER.Trojan
    F-Prot	4.3.2.48	06.08.2007	W32/SecRisk-ProcessPatcher-based!Maximus
    NOD32v2	2319	06.08.2007	probably a variant of Win32/Genetik
    Norman	5.80.02	06.08.2007	W32/Malware.VCD
    Panda	9.0.0.4	06.08.2007	Trj/Desbot.C
    Prevx1	V2	06.08.2007	Polynomial.Code.Exploit
    Sophos	4.18.0	06.01.2007	Mal/Behav-027
    Webwasher-Gateway	6.0.1	06.08.2007	Heuristic.Malware
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\dsefg.exe');
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.

  15. #14
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    Выполнил Код
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('C:\WINDOWS\system32\dsefg.exe');
    BC_ImportDeletedList;
    BC_Activate;
    RebootWindows(true);
    end.


    А что делать с первым кодом, который вы запостили?

    AntiVir 7.4.0.32 06.08.2007 HEUR/Malware
    Authentium 4.93.8 05.23.2007 Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
    DrWeb 4.33 06.08.2007 DLOADER.Trojan
    F-Prot 4.3.2.48 06.08.2007 W32/SecRisk-ProcessPatcher-based!Maximus
    NOD32v2 2319 06.08.2007 probably a variant of Win32/Genetik
    Norman 5.80.02 06.08.2007 W32/Malware.VCD
    Panda 9.0.0.4 06.08.2007 Trj/Desbot.C
    Prevx1 V2 06.08.2007 Polynomial.Code.Exploit
    Sophos 4.18.0 06.01.2007 Mal/Behav-027
    Webwasher-Gateway 6.0.1 06.08.2007 Heuristic.Malware

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    А ничего не делать. Это просто к сведени., кто как зверя определяет.
    Делайте логи.

  17. #16
    Junior Member Репутация
    Регистрация
    07.06.2007
    Сообщений
    38
    Вес репутации
    62
    А этот код на зверя, который сам открывает окна эксплорера? если да, то на разные сайты или тока на один? просто у меня открывались разные сайты

    спасибо вам за помощь!

  18. #17
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 13
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\dsefg.exe - Trojan.Win32.Small.mw (DrWEB: Trojan.DownLoader.36034)
      2. c:\\windows\\system32\\fccdcay.dll - not-a-virus:AdWare.Win32.Virtumonde.bq (DrWEB: Trojan.Virtumod)
      3. c:\\windows\\system32\\mljjh.dll - not-a-virus:AdWare.Win32.Virtumonde.wi (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) vdby, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Всплывают окна в браузере
      От topoc в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 14.04.2011, 20:50
    2. всплывают блокирующие окна или баннеры (заявка №62231)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 27.03.2011, 21:00
    3. Периодически всплывают окна с ошибками
      От JaneYa в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 31.07.2010, 11:38
    4. Ответов: 16
      Последнее сообщение: 22.02.2009, 02:01
    5. самопроизвольно всплывают окна
      От Yuriy в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 19.04.2006, 14:42

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00240 seconds with 23 queries