Trojan.Virtumod

[Vovaldo]

Уважаемые Господа,

Опять приходится просить Вас уделить минуту драгоценного времени. Ситуация такова: вчера поймал какуюто гадость в почте. почувствовав неладное просканировал др.вебом - оказался троян, успешно удалился. Однако после этого постоянно присутствовали признаки серйозной загрузки ЦП и через время вышло предложение завершить установку и перезагрузиться. (при этом я ничего не устанавливал). АВЗ тоже нашел какую то муть, но после того, как я поостанавливал подозрительный процессы в панели задач - все симптомы пропали. и даже файл, на который ругался АВЗ sys32\mljgf.dll оставался без внимания. решил вчера вас не беспокоить, но сегодня все симптомы повторились поновой: предложение перезагрузиться, загрузка ЦП, др веб нашел файл sys32\msysvvux.dll с трояном из заголовка, но после удаления он появляется вновь.

помогите плз.

[Vovaldo]

да, еще на корневом С\ появилось около 400 темпов с началом на pos*.tmp
никто на них не ругался, но я на всякий случай удалил

Добавлено через 2 минуты

и еще до отключения восстановления системы при запуске были сообщения о проблемах в реестре.

[PavelA]

выполните, пришлите карантин по Правилам:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\mljgf.dll','');
 QuarantineFile('C:\WINDOWS\system32\rqjsxxwa.dll','');
 QuarantineFile('C:\WINDOWS\system32\hldrsxey.dll','');
 QuarantineFile('C:\WINDOWS\system32\gnaitcns.dll','');
 QuarantineFile('C:\WINDOWS\system32\awtrstu.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

[Vovaldo]

почистил реестр - было 2 упоминания msysvvux.dll
есть также строки содержащие mljgf.dll - их туда же?

[Numb]

Программа AVZ - файл - выполнить скрипт - выполните скрипт от PavelA. Система будет перезагружена - это нормально. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=18839 , как написано в прил.3 правил.

[Vovaldo]

система просто остановилась. перезагрузил вручную. карантин грузится в соседнем окне, но уж очень неохотно. не знаю почему. всего 500 кб

Добавлено через 8 минут

при отправке завис. перезагрузка не удалась. смог загрузиться только в безопасном режиме. есть предложения?

все таки загрузился в норамльном режиме. карантин отправился...

[rubin]

not-a-virus:AdWare.Win32.VirtuMonde.gen
C:\WINDOWS\system32\hldrsxey.dll
C:\WINDOWS\system32\awtrstu.dll
C:\WINDOWS\system32\gnaitcns.dll
C:\WINDOWS\system32\rqjsxxwa.dll
C:\WINDOWS\system32\mljgf.dll - свежий

Выполните:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\mljgf.dll');
 DeleteFile('C:\WINDOWS\system32\rqjsxxwa.dll');
 DeleteFile('C:\WINDOWS\system32\hldrsxey.dll');
 DeleteFile('C:\WINDOWS\system32\gnaitcns.dll');
 DeleteFile('C:\WINDOWS\system32\awtrstu.dll');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

Логи с п.10 повторите

[Vovaldo]

Все выполнил, логи приаттачил

[akok]

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O20 - Winlogon Notify: awtrstu - awtrstu.dll (file missing)

Добавлено через 56 секунд

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('awtrstu.dll');
 DeleteFile('C:\WINDOWS\system32\mljgf.dll');
 DeleteFile('C:\WINDOWS\system32\rqjsxxwa.dll');
 DeleteFile('C:\WINDOWS\system32\awtrstu.dll');
 DelBHO('{6A11553E-7737-4DA8-8FFD-B6842B415702}');
 DelBHO('{11d5c00b-8de7-44ee-934e-12f57ca6e15b}');
 DelBHO('{044218BF-DA52-4C44-8F74-A9FC4C7C7D1E}');
 BC_ImportDeletedList;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Повторите логи с п. 10 Правил

[Vovaldo]

фиксанул... будут еще рекоммендации или теперь надо ждать? может еще чего прислать?

сори. последнего не увидел. ща сделаю...

Добавлено через 15 минут

случилось вот что: после выполнения скрипта перегрузился, но при запуске системы появилось окошко с выбором пользователя, чего раньше не было, и кроме того, запрашиваемый пароль я не знаю. попытки зайти без пароля или с каким нибудь не проходят. и сама система грузится оооооочень долго. чего с этим можно сделать?

[V_Bond]

компьютер ваш ? или служебный ?

[Vovaldo]

тот который больной - мой. но винду устанавливал не я...

Добавлено через 43 секунды

мой.

[V_Bond]

.... грузитесь в safe mode ... выбирайте пользователя администратор .... - обычно без пароля .... и разбирайтесь с учетными записями ...

[Vovaldo]

в сейф моде то же спрашивает. если нет других рекомендаций, то решу вопрос в понедельник. спасибо. до встречи.

[pig]

Как вариант - загрузиться в консоль восстановления и удалить/переименовать \WINDOWS\System32\config\SAM
При загрузке будет создан один пользователь Администратор без пароля.

[Vovaldo]

"загрузиться в консоль восстановления"... с этого места попрошу поподробнее. дайте ссылочку или объясните как туда попасть... там уже я попробую разобраться.

[V_Bond]

http://support.microsoft.com/kb/307654/ru

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 15
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\awtrstu.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based)
  2. c:\\windows\\system32\\gnaitcns.dll - Trojan.Win32.Monder.ai (DrWEB: Trojan.Virtumod.based)
  3. c:\\windows\\system32\\hldrsxey.dll - Trojan.Win32.Monder.ct (DrWEB: Trojan.Virtumod.based)
  4. c:\\windows\\system32\\mljgf.dll - not-a-virus:AdWare.Win32.Virtumonde.jcs (DrWEB: Trojan.Virtumod.274)
  5. c:\\windows\\system32\\rqjsxxwa.dll - Trojan.Win32.Monder.ad (DrWEB: Trojan.Virtumod.269)