Показано с 1 по 10 из 10.

Не могу избавиться от Win32/Adware.Virtumonde (заявка № 15174)

  1. #1
    Junior Member Репутация
    Регистрация
    07.12.2007
    Сообщений
    6
    Вес репутации
    33

    Thumbs down Не могу избавиться от Win32/Adware.Virtumonde

    Здравствуйте спецы ! Возникла следующая проблема. При установке NOD32 были обнаружены вирусы Win32/TrojanDownloader.ConHook, Win32/TrojanDownloader.Agent.BER. После глубокой чистки NODом и отключений процессов через Hijackthis (использовали on-line анализаторы log-файлов), запустили в safe mode SDFix, который "придавил" трояна. Все вирусы лезли из файла pmnnonk.dll . Однако удалить эту библиотеку
    мы так и не смогли. Она появляется каджый раз после перезагрузки и хотя внешне вирус уже никак не проявляется, NOD32 пытается поместить ее в карантин "со словами": возможно модифицированный
    Win32/Adware.Virtumonde - приложение. Просим помочь советом в борьбе с заразой. Заранее благодарен nadert.
    P.S. Компьютер находиться достаточно далеко, поэтому прошу набраться терпения так как "у больного" могу
    появляться не каждый день.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ...
    Код:
    O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - D:\WINNT\system32\pmnnonk.dll
    O20 - Winlogon Notify: pmnnonk - D:\WINNT\SYSTEM32\pmnnonk.dll
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('D:\WINNT\system32\pmnnonk.dll','');
    DeleteFile('D:\WINNT\system32\pmnnonk.dll');
    DelCLSID('F4002052-AB29-4B33-8C8D-0E99084564EC');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    07.12.2007
    Сообщений
    6
    Вес репутации
    33

    Не могу избавиться от Win32/Adware.Virtumonde

    Спецам привет. Пофиксил в Hijackthis строки, выполнил Ваш скрипт. Ошибок не было, но карантин оказался пустой. При попытке выполнить стандартные скрипты в AVZ для получения логов и отправки Вам появляетя надпись "Invalid variant type". После нажатия OK процесс прерывается без образования файлов в каталоге LOG. В обоих стандартных скриптах в заголовке ошибке остановка происходит на 86 процентах. AVZ - новый, версия 4,29 от 12.12.2007, базы обновлены. Поэтому посылаю только лог Hijackthis.
    С уважением nadetr.
    Вложения Вложения

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Судя по логу, скрипт выполнился успешно.
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: (no name) - {F4002052-AB29-4B33-8C8D-0E99084564EC} - (no file)
    O4 - HKLM\..\Run: [GPLv3] rundll32.exe
    O20 - Winlogon Notify: pmnnonk - pmnnonk.dll (file missing)
    Попробуйте сделать лог AVZ так как описано здесь:
    http://virusinfo.info/showthread.php?t=10387
    только в обычном режиме, с запущенным IE.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    07.12.2007
    Сообщений
    6
    Вес репутации
    33

    Не могу избавиться от Win32/Adware.Virtumonde

    Сори за долгое молчание, но к компьютеру смог добраться только после праздников. Высылаю запрошенные логи.
    Вложения Вложения

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\WINNT\system32\msv.exe','');
     DeleteFile('D:\WINNT\system32\msv.exe');
     DelBHO('{F4002052-AB29-4B33-8C8D-0E99084564EC}');
     DelWinlogonNotifyByKeyName('pmnnonk');
     BC_DeleteSvc('catchme');
    BC_ImportALL;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите карантин согласно приложению 3 правил.
    Сделайте новые логи (стандартные).
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    07.12.2007
    Сообщений
    6
    Вес репутации
    33

    Не могу избавиться от Win32/Adware.Virtumonde

    Выполнил Ваш скрипт, высылаю результаты + стандартные логи
    С уважением nadetr.
    Вложения Вложения
    Последний раз редактировалось Макcим; 04.02.2008 в 13:14.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    пофиксите ...
    Код:
    O4 - HKLM\..\Run: [mmsass] msv.exe
    O4 - HKLM\..\RunServices: [mmsass] msv.exe
    hijackthis.log повторите ....

  10. #9
    Junior Member Репутация
    Регистрация
    07.12.2007
    Сообщений
    6
    Вес репутации
    33
    Борьба с вирусом закончилась. Сдох винчестер. Спасибо большое за ответы и терпение. Тему можно закрывать.

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,562
    Вес репутации
    942

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) nadetr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 7
      Последнее сообщение: 22.02.2009, 07:44
    2. Win32/Adware.Virtumonde.NBC: помогите плз избавиться
      От Lucas1976 в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 07:22
    3. Adware.Virtumonde вирус, не могу избавиться
      От Martinezzz в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 06:40
    4. Win32/adware.Virtumonde & ..Virtumonde.Fp
      От Alln0rd в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:34
    5. Как избавиться от AdWare.Win32.Virtumonde.yag?
      От too_late в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 05:46

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00194 seconds with 22 queries