-
Junior Member
- Вес репутации
- 62
ПОМОГИТЕ! Trojan.Virtumod + в IE всплывают окна с сайтами!
Помогите избавится от Trojan.Virtumod ДокторВеб нашел его и пишет, что после рестарта удалит, но он заново после перезагрузки находит троян!
файлы: fccdcay.dll и mljjh.dll (находятся в C:\WINDOWS\system32)
Так же в интернет эксплорере всплывают окна и предупреждение что мол комп плохо работает и скачать ВинАнтивирус!
вот некторые из сайтов, которые всплывают:
winantivirus.com/download/2007/index.php?aid=nm_ik_russia_ru_ru_ed2&lid=keyin&aff id=nm_67580_c04fe486150f11dc8b3f003048895bfc_9ce6a a7c+b82a4ed5209947cc98b87fee078f94f6&ax=1&p=&ex=1
suppcons.info/cgi-bin/ko35em8w.cgi?name=brb
Так же мне кажется комп стал медленнее работать и инет!
Последний раз редактировалось Alex_Goodwin; 11.06.2007 в 01:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
В программе Hijackthis пофиксите строчки:
Код:
O20 - AppInit_DLLs: C:\WINDOWS\system32\tmp_28.dll
O23 - Service: Syscheck - Unknown owner - C:\WINDOWS\csrss.exe (file missing)
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\svchоst.exe','');
QuarantineFile('C:\WINDOWS\system32\tmp_28.dll','');
QuarantineFile('C:\WINDOWS\system32\mljjh.dll','');
QuarantineFile('C:\WINDOWS\system32\fccdcay.dll','');
DeleteFile('C:\WINDOWS\system32\tmp_28.dll');
DeleteFile('C:\WINDOWS\csrss.exe');
DeleteFile('C:\WINDOWS\system32\mljjh.dll');
DeleteFile('C:\WINDOWS\system32\fccdcay.dll');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10244 , как написано в прил.3 правил , и сделайте новые логи, начиная с п. 10 правил
-
-
Junior Member
- Вес репутации
- 62
Только я наоборот сделал, с начала скан с перезагрузкой AVZ, а потом Хиджаком фиксил (только одну строку нашел, помойму О20), потом карантин сделал и отправил по ссылке, и далаее сделал 2 отчета virusinfo_syscheck.zip и hijackthis.log, которые прикладываю к этому сообщению!
Последний раз редактировалось vdby; 08.06.2007 в 02:24.
-
Junior Member
- Вес репутации
- 62
-
Junior Member
- Вес репутации
- 62
что-то не появляются в этом сообении мои файлы вложенные!((
Пишут
vdby, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
- Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
- Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
-
Junior Member
- Вес репутации
- 62
А письмо авторизации не приходит(( что делать? и у меня поэтому нет прав на добавление файлов. пришлите письмо с юрл!
-
Интересно. Вы пытаетесь добавить вложение через меню "Опции темы"-"Управление вложениями"?
-
-
Может это из-за репутации Упала на ноль без вынесения предупреждений со стороны модераторов.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Единственное, что я могу предположить, у вас был указан неправильный ящик.
Хотя, в первый раз вы вложили ведь без проблем? Попробуйте удалить старые.
Да, у вас статус стоит "Users Awaiting Email Confirmation"
Похоже на проблемы у mail.ru с нашим доменом virusinfo.info
Активировал вручную.
-
-
Junior Member
- Вес репутации
- 62
Прикрепил файлы..карантин вчера высылал...заранее спасибо за помощь)
-
В присланном: C:\WINDOWS\system32\mljjh.dll, C:\WINDOWS\system32\fccdcay.dll - Trojan.Virtumod (по DrWeb) но это вы и так знали. В программе Hijackthis пофиксите строчки:
Код:
O2 - BHO: (no name) - {1446ADA5-6E25-4A7A-97F3-B8DC7A33EA7C} - C:\WINDOWS\system32\mljjh.dll (file missing)
O2 - BHO: (no name) - {E5225210-F293-40FE-BB2F-D5A3C7F13C47} - C:\WINDOWS\system32\fccdcay.dll (file missing)
O20 - Winlogon Notify: mljjh - C:\WINDOWS\
Просмотрел я вчера один файл В программе AVZ выполните скрипт:
Код:
begin
Clearquarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dsefg.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, снова загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=10244
-
-
Junior Member
- Вес репутации
- 62
Все сделал! карантин выслал.
всеравно вылезает окно эксплорера с сайтом suppcons.info/cgi-bin/ko35em8w.cgi?name=brb
Я заметил , что когда открываю новое окно эксплорера, то он лезет с начала на какойто сайт с айпишником начинающимся с 80. или 88. не успеваю глянуть..так как инет быстрый))
Да и доктор веб больше не видит Virtua.mod, но я не проверял всю систему, а проверку первоначальную, при запуске доктор веба
Последний раз редактировалось Alex_Goodwin; 11.06.2007 в 01:57.
-
Давайте удалять и этот последний - слишком многие на него ругаются:
Код:
AntiVir 7.4.0.32 06.08.2007 HEUR/Malware
Authentium 4.93.8 05.23.2007 Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
DrWeb 4.33 06.08.2007 DLOADER.Trojan
F-Prot 4.3.2.48 06.08.2007 W32/SecRisk-ProcessPatcher-based!Maximus
NOD32v2 2319 06.08.2007 probably a variant of Win32/Genetik
Norman 5.80.02 06.08.2007 W32/Malware.VCD
Panda 9.0.0.4 06.08.2007 Trj/Desbot.C
Prevx1 V2 06.08.2007 Polynomial.Code.Exploit
Sophos 4.18.0 06.01.2007 Mal/Behav-027
Webwasher-Gateway 6.0.1 06.08.2007 Heuristic.Malware
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dsefg.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.
-
-
Junior Member
- Вес репутации
- 62
Выполнил Код
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\dsefg.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
А что делать с первым кодом, который вы запостили?
AntiVir 7.4.0.32 06.08.2007 HEUR/Malware
Authentium 4.93.8 05.23.2007 Possibly a new variant of W32/SecRisk-ProcessPatcher-based!Maximus
DrWeb 4.33 06.08.2007 DLOADER.Trojan
F-Prot 4.3.2.48 06.08.2007 W32/SecRisk-ProcessPatcher-based!Maximus
NOD32v2 2319 06.08.2007 probably a variant of Win32/Genetik
Norman 5.80.02 06.08.2007 W32/Malware.VCD
Panda 9.0.0.4 06.08.2007 Trj/Desbot.C
Prevx1 V2 06.08.2007 Polynomial.Code.Exploit
Sophos 4.18.0 06.01.2007 Mal/Behav-027
Webwasher-Gateway 6.0.1 06.08.2007 Heuristic.Malware
-
А ничего не делать. Это просто к сведени., кто как зверя определяет.
Делайте логи.
-
-
Junior Member
- Вес репутации
- 62
А этот код на зверя, который сам открывает окна эксплорера? если да, то на разные сайты или тока на один? просто у меня открывались разные сайты
спасибо вам за помощь!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 13
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\dsefg.exe - Trojan.Win32.Small.mw (DrWEB: Trojan.DownLoader.36034)
- c:\\windows\\system32\\fccdcay.dll - not-a-virus:AdWare.Win32.Virtumonde.bq (DrWEB: Trojan.Virtumod)
- c:\\windows\\system32\\mljjh.dll - not-a-virus:AdWare.Win32.Virtumonde.wi (DrWEB: Trojan.Virtumod)
-