Не могу полностью вылечится

**Zin** · 06.03.2008, 21:18

После очередной проверки на вирусы антивирус (drWeb) нашел несколько вирусов virtumod 269. Но даже после полной проверки системы в безопасном режиме монитор постоянно в течении дня находит до 20 шт. вирусов. Не знаю что и делать как полностью избавится от этого зловреды. Помогите пожалуста.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**rubin** · 06.03.2008, 21:26

Восстановление системы: включено - отключить
BitAccelerator и ConnectionServices - деинсталлировать

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DelBHO('C7698CE2-EAF8-4992-9D02-F0571B980372');
 DelBHO('7822058A-1C84-4A8A-979A-0B1189930CA6');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\ywuecxwm.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\mofugclq.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\urclqecd.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\rhvqsuwb.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\qrjatydi.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\vntmrykt.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\dlwixoql.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\dswtmhmj.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\exjegpqb.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\gitobxmn.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\sheqipoi.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\xqedqkpr.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\ngproxvf.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\peuagbsx.exe','');
 QuarantineFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\efcgxlvu.exe','');
 QuarantineFile('C:\WINDOWS\system32\qomjkii.dll','');
 QuarantineFile('C:\WINDOWS\system32\pfsquitc.dll','');
 QuarantineFile('C:\WINDOWS\system32\mljgd.dll','');
 QuarantineFile('C:\WINDOWS\system32\ikblwurl.dll','');
 QuarantineFile('C:\WINDOWS\system32\cakwlcxv.dll','');
 DeleteFile('C:\WINDOWS\system32\cakwlcxv.dll');
 DeleteFile('C:\WINDOWS\system32\ikblwurl.dll');
 DeleteFile('C:\WINDOWS\system32\mljgd.dll');
 DeleteFile('C:\WINDOWS\system32\pfsquitc.dll');
 DeleteFile('C:\WINDOWS\system32\qomjkii.dll');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\efcgxlvu.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\peuagbsx.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\ngproxvf.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\xqedqkpr.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\sheqipoi.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\gitobxmn.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\exjegpqb.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\dswtmhmj.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\dlwixoql.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\vntmrykt.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\qrjatydi.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\rhvqsuwb.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\urclqecd.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\mofugclq.exe');
 DeleteFile('C:\Documents and Settings\ArGuS\Local Settings\Temp\ywuecxwm.exe');
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19299

2.Пофиксить в HijackThis следующие строчки, если останутся ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {7822058A-1C84-4A8A-979A-0B1189930CA6} - C:\WINDOWS\system32\qomjkii.dll
O2 - BHO: (no name) - {C7698CE2-EAF8-4992-9D02-F0571B980372} - C:\WINDOWS\system32\mljgd.dll
O4 - HKLM\..\Run: [BM3d24fd9c] Rundll32.exe "C:\WINDOWS\system32\ikblwurl.dll",s
O4 - HKLM\..\Run: [3e17ce00] rundll32.exe "C:\WINDOWS\system32\pfsquitc.dll",b
O20 - Winlogon Notify: qomjkii - C:\WINDOWS\SYSTEM32\qomjkii.dll
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)

3. Повторить логи

**Zin** · 07.03.2008, 00:27

Большое спасибо вирусы перестали появляться. Хочу сказать большое спасибо rubin и всем кто занимается этим благородным делом.

P.S.
virusinfo_syscure.zip выслать не могу avz выбивает

**V_Bond** · 07.03.2008, 00:32

выполните скрипт ....

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\wioklgde.dll','');
 QuarantineFile('C:\WINDOWS\system32\eeyfkxfn.dll','');
 DeleteFile('C:\WINDOWS\system32\eeyfkxfn.dll');
 DeleteFile('C:\WINDOWS\system32\wioklgde.dll');
 DelBHO('{f8e4f103-0d3b-4588-ab6e-daed0e05f3da}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите крантин согласно приложения 3 правил ....
повторите логи ....

**Zin** · 07.03.2008, 01:03

скрипт выполнил спасибо

**Bratez** · 07.03.2008, 01:13

Логи чистые.

Рекомендуется отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

**Zin** · 07.03.2008, 01:23

подскажите я на этом форуме могу найти тему как это отключить?

**Bratez** · 07.03.2008, 01:26

Скажите, что именно отключить, сделаем скрипт.

**Zin** · 07.03.2008, 22:18

как можно отключить эти службы?
RemoteRegistry (Удаленный реестр)
TermService (Службы терминалов)
SSDPSRV (Служба обнаружения SSDP)
mnmsrvc (NetMeeting Remote Desktop Sharing)
автозапуск программ с CDROM
к ПК разрешен доступ анонимного пользователя
отправка приглашений удаленному помошнику

**V_Bond** · 07.03.2008, 22:21

у вас есть локальная сеть ? компьютер домашний ?

**Zin** · 07.03.2008, 23:12

Домашний компьютер.
Но в интернет выходит, не знаю как корректно обьяснить, по локальной сети (видимо провайдерской)
P.S. извините если за недостатком знаний некоректно описываю. Спасибо за терпение

**V_Bond** · 07.03.2008, 23:24

выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

**CyberHelper** · 22.02.2009, 04:15

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 136
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\argus\\local settings\\temp\\dlwixoql.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
2. c:\\documents and settings\\argus\\local settings\\temp\\dswtmhmj.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
3. c:\\documents and settings\\argus\\local settings\\temp\\efcgxlvu.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
4. c:\\documents and settings\\argus\\local settings\\temp\\exjegpqb.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
5. c:\\documents and settings\\argus\\local settings\\temp\\gitobxmn.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
6. c:\\documents and settings\\argus\\local settings\\temp\\mofugclq.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
7. c:\\documents and settings\\argus\\local settings\\temp\\ngproxvf.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
8. c:\\documents and settings\\argus\\local settings\\temp\\peuagbsx.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
9. c:\\documents and settings\\argus\\local settings\\temp\\qrjatydi.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
10. c:\\documents and settings\\argus\\local settings\\temp\\rhvqsuwb.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
11. c:\\documents and settings\\argus\\local settings\\temp\\sheqipoi.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
12. c:\\documents and settings\\argus\\local settings\\temp\\urclqecd.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
13. c:\\documents and settings\\argus\\local settings\\temp\\vntmrykt.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
14. c:\\documents and settings\\argus\\local settings\\temp\\xqedqkpr.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
15. c:\\documents and settings\\argus\\local settings\\temp\\ywuecxwm.exe - not-a-virusownloader.Win32.WinFixer.ba (DrWEB: Trojan.DownLoader.51199)
16. c:\\program files\\bitaccelerator\\bitaccelerator.dll - not-a-virus:WebToolbar.Win32.BitAccelerator.d (DrWEB: Trojan.BitAcc)
17. c:\\program files\\connectionservices\\connectionservices.dl - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
18. c:\\windows\\system32\\cakwlcxv.dll - Trojan.Win32.Monder.ag (DrWEB: Trojan.Virtumod.269)
19. c:\\windows\\system32\\eeyfkxfn.dll - Trojan.Win32.Monder.ag (DrWEB: Trojan.Virtumod.269)
20. c:\\windows\\system32\\ikblwurl.dll - Trojan.Win32.Monder.ap (DrWEB: Trojan.Virtumod.280)
21. c:\\windows\\system32\\mljgd.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based)
22. c:\\windows\\system32\\pfsquitc.dll - Trojan.Win32.Monder.bt (DrWEB: Trojan.Virtumod.272)
23. c:\\windows\\system32\\qomjkii.dll - not-a-virus:AdWare.Win32.Virtumonde.blb (DrWEB: Trojan.Virtumod.246)
24. c:\\windows\\system32\\wioklgde.dll - Trojan.Win32.Monder.bt (DrWEB: Trojan.Virtumod.272)
25. \\2008-03-06\\bcqr00031.dta - not-a-virus:AdWare.Win32.Virtumonde.blb (DrWEB: Trojan.Virtumod.246)
26. \\2008-03-06\\bcqr00032.dta - not-a-virus:AdWare.Win32.Virtumonde.blb (DrWEB: Trojan.Virtumod.246)
27. \\2008-03-06\\bcqr00035.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based)
28. \\2008-03-06\\bcqr00036.dta - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.based)

Не могу полностью вылечится (заявка № 19299)

Опции темы

Не могу полностью вылечится

Итог лечения

Похожие темы

Win32.Monder. нет уверенности, что полностью вылечен

помогите пожалуйста вылечится от Virus.Win32.Sality.aa

Помогите вылечится от TrojanDownloader.Win32.Agent.alc

помогите вылечится от прикольного вируса

как полностью вылечиться от Trojan-PSW.Win32.Delf.bog

Ваши права в разделе