-
Junior Member
- Вес репутации
- 59
trojan.virtumod.based (по версии дрВеба)
Вот на такого зверя попал. Пробовал удалять из реестра и процессов, но он сам восстанавливается, видать плохо чищу... НОД третий его гордо игнорирует. Находит cureit, но не может удалить даже после перезагрузки.
Постоянно придумывает рандомные имена дллкам и запускает их рандлл-ом...
Хелп...
Блин, просмотрел файлы и ужаснулся.. с защитой у меня фигня полная выходит. Буду рад каким-то советам...
Куча портов, которые кто-то уже юзает... Бррр.
Надстройки иексплорера левые...
Последний раз редактировалось maleficmax; 11.07.2008 в 12:31.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('geBuSLDS.dll','');
QuarantineFile('C:\WINDOWS\system32\rebuild.exe','');
QuarantineFile('dwshd.sys','');
QuarantineFile('C:\WINDOWS\system32\drivers\dwshd.sys','');
QuarantineFile('C:\WINDOWS\system32\vcpvipqv.dll','');
QuarantineFile('C:\WINDOWS\system32\ljJDULef.dll','');
QuarantineFile('C:\WINDOWS\system32\geBuSLDS.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=22573 ).
-
-
Junior Member
- Вес репутации
- 59
Есть
Код:
Результат загрузки
Файл сохранён как 080508_000226_virus_48228962e2c02.zip
Размер файла 463220
MD5 91090f094e0b0bed69364a9455f9aede
Файл закачан, спасибо!
-
geBuSLDS.dll, ljJDULef.dll, vcpvipqv.dll - Trojan.Win32.Monder.gen
rebuild.exe_
Вредоносный код в файле не обнаружен.
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{A1DAF604-276C-44FF-8D1D-673A01A412B5}');
DelBHO('{B3102264-D09D-4322-B625-503FBF18DD7E}');
DeleteFile('C:\WINDOWS\system32\ljJDULef.dll');
DeleteFile('C:\WINDOWS\system32\geBuSLDS.dll');
DeleteFile('C:\WINDOWS\system32\vcpvipqv.dll');
DeleteFile('geBuSLDS.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Сделано!
Из автозагрузки убрался зверюка, в процессах нету! Ура!
Но в качестве надстроек ИЕ осталось два файла, один из которых разрешен, другой нет.
Примечание: я обе надстройки запрещал ранее, однако не помню их имена, возможно это новые...
Последний раз редактировалось maleficmax; 11.07.2008 в 12:31.
-
Пофиксить
Код:
O2 - BHO: (no name) - {B3102264-D09D-4322-B625-503FBF18DD7E} - C:\WINDOWS\system32\geBuSLDS.dll (file missing)
O20 - Winlogon Notify: geBuSLDS - C:\WINDOWS\
O2 - BHO: (no name) - {FD5DFFF6-7838-4901-AC3A-EAED2B1EC70B} - C:\WINDOWS\system32\ljJDULef.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\geBuSLDS.dll');
DeleteFile('C:\WINDOWS\system32\ljJDULef.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
Повторите логи.
-
-
Junior Member
- Вес репутации
- 59
Файлов кстати таких нет уже, потому я выполню скрипт, хотя полагаю, уже не нужно. просто остались на них ссылки наверно)
Логи всё же повторить?
-
Да на всякий случай
-
-
Junior Member
- Вес репутации
- 59
Вот всё что есть)
Огромное спасибо!
Последний раз редактировалось maleficmax; 11.07.2008 в 12:31.
-
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 59
Всё отлично, пока (уже) не на что жаловаться) Большое спасибо!
-
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-