Показано с 1 по 9 из 9.

Заражение "Virtumod"ами (заявка № 18159)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2008
    Адрес
    Украина
    Сообщений
    8
    Вес репутации
    60

    Exclamation Заражение "Virtumod"ами

    Здравствуйте.
    Произошло заражение Virtumod 274 и 269. AviraAntivir орал неумолкая C:\WINDOWS\system32\mljjh.dll.
    Пока разбирался с инструкцией полная проверка Spyware Doctor удалила 274 (25 заражений) и повторная (2 заражения).
    CureIT удалил 269. HijackThis не запустился. Рабтает 1.bat.
    При запуске компьютера или IE запускается функция "Работать автономно" несмотря на предыдущее отключение.
    Пока писал сообщение антивир 3 раза ругнулся C:\WINDOWS\system32\*.dll. Запустил полную Spyware Doctor - на 79% - 6 заражений.
    Жду помощи.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    565
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DelBHO('C0D29A08-7E59-4A92-906E-F58860CC75D0');
     DelBHO('530B6F23-9548-4928-A66B-092392C6B079');
     QuarantineFile('C:\WINDOWS\system32\mljjh.dll','');
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
     QuarantineFile('C:\WINDOWS\system32\drivers\amsint.sys','');
     QuarantineFile('C:\WINDOWS\system32\sstqq.dll','');
     QuarantineFile('C:\WINDOWS\system32\qommmlk.dll','');
     DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
     DeleteFile('C:\WINDOWS\system32\sstqq.dll');
     DeleteFile('C:\WINDOWS\system32\mljjh.dll');
     BC_ImportAll;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=18159

    AGAVA antispam удалите самостоятельно...

    3. Повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    19.01.2008
    Адрес
    Украина
    Сообщений
    8
    Вес репутации
    60
    После повторных чисток Spyware Doctor и Avira, CureIT ничего не нашел.

    Цитата Сообщение от rubin Посмотреть сообщение

    AGAVA antispam удалите самостоятельно...
    Подскажите где она у меня. Я такую не устанавливал и "Поиск" ничего не показал.

    Все остальное выполнил. "Автономная работа" IE больше самостоятельно не запускается.
    Вложения Вложения

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
     DelBHO('{E0249CF1-986F-4870-951F-A1DAC894801E}');
     DelBHO('{23D44BCF-AA7A-41D6-8905-E808F16322EF}');
     QuarantineFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe','');
     QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
     QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
     DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
     DeleteFile('C:\WINDOWS\system32\sstqq.dll');
     DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
    BC_ImportAll;
     BC_DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
     BC_DeleteFile('C:\WINDOWS\system32\sstqq.dll');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    F3 - REG:win.ini: load=
    F3 - REG:win.ini: run=
    O20 - Winlogon Notify: qommmlk - qommmlk.dll (file missing)
    Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    19.01.2008
    Адрес
    Украина
    Сообщений
    8
    Вес репутации
    60
    Перед выполнением скриптов проверку CureIT не делал. Если необходимо выполнять каждый раз, то сообщите.
    Все остальное сделал.
    Вложения Вложения

  7. #6
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe not-a-virus:AdTool.Win32.TMAgent.h
    C:\WINDOWS\system32\qommmlk.dll not-a-virus:AdWare.Win32.Virtmonde.gen
    выполните скрипт ....
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    повторите логи начиная с пункта 10 правил ....

  8. #7
    Junior Member Репутация
    Регистрация
    19.01.2008
    Адрес
    Украина
    Сообщений
    8
    Вес репутации
    60
    Скрипт выполнил.

    Цитата Сообщение от V_Bond Посмотреть сообщение
    C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe not-a-virus:AdTool.Win32.TMAgent.h
    C:\WINDOWS\system32\qommmlk.dll not-a-virus:AdWare.Win32.Virtmonde.gen
    А как быть с этим? Или это для информации?
    Вложения Вложения

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    все злодеи уничтожены ...
    какие-то проблемы остались ?

  10. #9
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 3
    • Обработано файлов: 38
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\program files\\common files\\target marketing agency\\tmagent\\tmagent.dll - not-a-virus:AdTool.Win32.TMAagent.o
      2. c:\\progra~1\\common~1\\target~1\\tmagent\\tmasrv. exe - not-a-virus:WebToolbar.Win32.TMAagent.h
      3. c:\\windows\\system32\\qommmlk.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.240)


  • Уважаемый(ая) sobor422, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 26.04.2012, 16:16
    2. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:19
    3. Ответов: 3
      Последнее сообщение: 22.02.2009, 09:42
    4. Ответов: 14
      Последнее сообщение: 22.02.2009, 09:00
    5. Ответов: 4
      Последнее сообщение: 22.02.2009, 03:39

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00069 seconds with 18 queries