Junior Member
Вес репутации
60
Заражение "Virtumod"ами
Здравствуйте.
Произошло заражение Virtumod 274 и 269. AviraAntivir орал неумолкая C:\WINDOWS\system32\mljjh.dll.
Пока разбирался с инструкцией полная проверка Spyware Doctor удалила 274 (25 заражений) и повторная (2 заражения).
CureIT удалил 269. HijackThis не запустился. Рабтает 1.bat.
При запуске компьютера или IE запускается функция "Работать автономно" несмотря на предыдущее отключение.
Пока писал сообщение антивир 3 раза ругнулся C:\WINDOWS\system32\*.dll. Запустил полную Spyware Doctor - на 79% - 6 заражений.
Жду помощи.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('C0D29A08-7E59-4A92-906E-F58860CC75D0');
DelBHO('530B6F23-9548-4928-A66B-092392C6B079');
QuarantineFile('C:\WINDOWS\system32\mljjh.dll','');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\amsint.sys','');
QuarantineFile('C:\WINDOWS\system32\sstqq.dll','');
QuarantineFile('C:\WINDOWS\system32\qommmlk.dll','');
DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
DeleteFile('C:\WINDOWS\system32\sstqq.dll');
DeleteFile('C:\WINDOWS\system32\mljjh.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18159
AGAVA antispam удалите самостоятельно...
3. Повторите логи
Junior Member
Вес репутации
60
После повторных чисток Spyware Doctor и Avira, CureIT ничего не нашел.
Сообщение от
rubin
AGAVA antispam удалите самостоятельно...
Подскажите где она у меня. Я такую не устанавливал и "Поиск" ничего не показал.
Все остальное выполнил. "Автономная работа" IE больше самостоятельно не запускается.
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
DelBHO('{E0249CF1-986F-4870-951F-A1DAC894801E}');
DelBHO('{23D44BCF-AA7A-41D6-8905-E808F16322EF}');
QuarantineFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe','');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
DeleteFile('C:\WINDOWS\system32\sstqq.dll');
DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
BC_DeleteFile('C:\WINDOWS\system32\sstqq.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
F3 - REG:win.ini: load=
F3 - REG:win.ini: run=
O20 - Winlogon Notify: qommmlk - qommmlk.dll (file missing)
Повторите логи.
Junior Member
Вес репутации
60
Перед выполнением скриптов проверку CureIT не делал. Если необходимо выполнять каждый раз, то сообщите.
Все остальное сделал.
Вложения
C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe not-a-virus:AdTool.Win32.TMAgent.h
C:\WINDOWS\system32\qommmlk.dll not-a-virus:AdWare.Win32.Virtmonde.gen
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
повторите логи начиная с пункта 10 правил ....
Junior Member
Вес репутации
60
Скрипт выполнил.
Сообщение от
V_Bond
C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe not-a-virus:AdTool.Win32.TMAgent.h
C:\WINDOWS\system32\qommmlk.dll not-a-virus:AdWare.Win32.Virtmonde.gen
А как быть с этим? Или это для информации?
Вложения
все злодеи уничтожены ...
какие-то проблемы остались ?
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 3 Обработано файлов: 38 В ходе лечения обнаружены вредоносные программы:
c:\\program files\\common files\\target marketing agency\\tmagent\\tmagent.dll - not-a-virus:AdTool.Win32.TMAagent.o c:\\progra~1\\common~1\\target~1\\tmagent\\tmasrv. exe - not-a-virus:WebToolbar.Win32.TMAagent.h c:\\windows\\system32\\qommmlk.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.240)