Показано с 1 по 18 из 18.

Trojan.Virtumod (заявка № 18839)

  1. #1
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33

    Exclamation Trojan.Virtumod

    Уважаемые Господа,

    Опять приходится просить Вас уделить минуту драгоценного времени. Ситуация такова: вчера поймал какуюто гадость в почте. почувствовав неладное просканировал др.вебом - оказался троян, успешно удалился. Однако после этого постоянно присутствовали признаки серйозной загрузки ЦП и через время вышло предложение завершить установку и перезагрузиться. (при этом я ничего не устанавливал). АВЗ тоже нашел какую то муть, но после того, как я поостанавливал подозрительный процессы в панели задач - все симптомы пропали. и даже файл, на который ругался АВЗ sys32\mljgf.dll оставался без внимания. решил вчера вас не беспокоить, но сегодня все симптомы повторились поновой: предложение перезагрузиться, загрузка ЦП, др веб нашел файл sys32\msysvvux.dll с трояном из заголовка, но после удаления он появляется вновь.

    помогите плз.
    Вложения Вложения

  2. Реклама
     

  3. #2
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    да, еще на корневом С\ появилось около 400 темпов с началом на pos*.tmp
    никто на них не ругался, но я на всякий случай удалил

    Добавлено через 2 минуты

    и еще до отключения восстановления системы при запуске были сообщения о проблемах в реестре.
    Последний раз редактировалось Vovaldo; 28.02.2008 в 19:41. Причина: Добавлено

  4. #3
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,463
    Вес репутации
    2495
    выполните, пришлите карантин по Правилам:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\mljgf.dll','');
     QuarantineFile('C:\WINDOWS\system32\rqjsxxwa.dll','');
     QuarantineFile('C:\WINDOWS\system32\hldrsxey.dll','');
     QuarantineFile('C:\WINDOWS\system32\gnaitcns.dll','');
     QuarantineFile('C:\WINDOWS\system32\awtrstu.dll','');
    BC_Importall;
    BC_Activate;
    RebootWindows(true);
    end.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  5. #4
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    почистил реестр - было 2 упоминания msysvvux.dll
    есть также строки содержащие mljgf.dll - их туда же?

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    843
    Программа AVZ - файл - выполнить скрипт - выполните скрипт от PavelA. Система будет перезагружена - это нормально. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=18839 , как написано в прил.3 правил.

  7. #6
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    система просто остановилась. перезагрузил вручную. карантин грузится в соседнем окне, но уж очень неохотно. не знаю почему. всего 500 кб

    Добавлено через 8 минут

    при отправке завис. перезагрузка не удалась. смог загрузиться только в безопасном режиме. есть предложения?

    все таки загрузился в норамльном режиме. карантин отправился...
    Последний раз редактировалось Vovaldo; 28.02.2008 в 20:23. Причина: Добавлено

  8. #7
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    538
    not-a-virus:AdWare.Win32.VirtuMonde.gen
    C:\WINDOWS\system32\hldrsxey.dll
    C:\WINDOWS\system32\awtrstu.dll
    C:\WINDOWS\system32\gnaitcns.dll
    C:\WINDOWS\system32\rqjsxxwa.dll
    C:\WINDOWS\system32\mljgf.dll - свежий

    Выполните:
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('C:\WINDOWS\system32\mljgf.dll');
     DeleteFile('C:\WINDOWS\system32\rqjsxxwa.dll');
     DeleteFile('C:\WINDOWS\system32\hldrsxey.dll');
     DeleteFile('C:\WINDOWS\system32\gnaitcns.dll');
     DeleteFile('C:\WINDOWS\system32\awtrstu.dll');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    Логи с п.10 повторите

  9. #8
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    Все выполнил, логи приаттачил
    Вложения Вложения

  10. #9
    Full Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для akok
    Регистрация
    25.01.2011
    Сообщений
    2,335
    Вес репутации
    49
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O20 - Winlogon Notify: awtrstu - awtrstu.dll (file missing)
    Добавлено через 56 секунд

    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     DeleteFile('awtrstu.dll');
     DeleteFile('C:\WINDOWS\system32\mljgf.dll');
     DeleteFile('C:\WINDOWS\system32\rqjsxxwa.dll');
     DeleteFile('C:\WINDOWS\system32\awtrstu.dll');
     DelBHO('{6A11553E-7737-4DA8-8FFD-B6842B415702}');
     DelBHO('{11d5c00b-8de7-44ee-934e-12f57ca6e15b}');
     DelBHO('{044218BF-DA52-4C44-8F74-A9FC4C7C7D1E}');
     BC_ImportDeletedList;
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите логи с п. 10 Правил
    Последний раз редактировалось akoK; 29.02.2008 в 10:41. Причина: Добавлено
    Microsoft Most Valuable Professional in Consumer Security

  11. #10
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    фиксанул... будут еще рекоммендации или теперь надо ждать? может еще чего прислать?

    сори. последнего не увидел. ща сделаю...

    Добавлено через 15 минут

    случилось вот что: после выполнения скрипта перегрузился, но при запуске системы появилось окошко с выбором пользователя, чего раньше не было, и кроме того, запрашиваемый пароль я не знаю. попытки зайти без пароля или с каким нибудь не проходят. и сама система грузится оооооочень долго. чего с этим можно сделать?
    Последний раз редактировалось Vovaldo; 29.02.2008 в 10:59. Причина: Добавлено

  12. #11
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    компьютер ваш ? или служебный ?

  13. #12
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    тот который больной - мой. но винду устанавливал не я...

    Добавлено через 43 секунды

    мой.
    Последний раз редактировалось Vovaldo; 29.02.2008 в 11:03. Причина: Добавлено

  14. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497
    .... грузитесь в safe mode ... выбирайте пользователя администратор .... - обычно без пароля .... и разбирайтесь с учетными записями ...

  15. #14
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    в сейф моде то же спрашивает. если нет других рекомендаций, то решу вопрос в понедельник. спасибо. до встречи.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Как вариант - загрузиться в консоль восстановления и удалить/переименовать \WINDOWS\System32\config\SAM
    При загрузке будет создан один пользователь Администратор без пароля.

  17. #16
    Junior Member Репутация
    Регистрация
    08.01.2008
    Сообщений
    17
    Вес репутации
    33
    "загрузиться в консоль восстановления"... с этого места попрошу поподробнее. дайте ссылочку или объясните как туда попасть... там уже я попробую разобраться.

  18. #17
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1497

  19. #18
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,517
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 15
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\awtrstu.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based)
      2. c:\\windows\\system32\\gnaitcns.dll - Trojan.Win32.Monder.ai (DrWEB: Trojan.Virtumod.based)
      3. c:\\windows\\system32\\hldrsxey.dll - Trojan.Win32.Monder.ct (DrWEB: Trojan.Virtumod.based)
      4. c:\\windows\\system32\\mljgf.dll - not-a-virus:AdWare.Win32.Virtumonde.jcs (DrWEB: Trojan.Virtumod.274)
      5. c:\\windows\\system32\\rqjsxxwa.dll - Trojan.Win32.Monder.ad (DrWEB: Trojan.Virtumod.269)


  • Уважаемый(ая) Vovaldo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Trojan.Virtumod
      От SweetOpium в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.07.2009, 17:43
    2. trojan virtumod
      От aleklepp в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 02:28
    3. Trojan.Virtumod
      От Stalcer в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:44
    4. !!!!help Trojan.Virtumod!!!!!
      От partakabin в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 01:40
    5. Trojan.Virtumod.1466
      От Vagon в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 23.12.2008, 01:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00866 seconds with 26 queries