Virtumonde,Vundo + WinFixer

[HooliGUN]

Итак, началось это вчера.
При загрузке компа NOD32 выдал сообщение о вирусе Win32/Adware.Virtumonde. Параллельно с ним Windows Defender тоже обнаружил вирус Trojan:Win32/Vundo.gen!N. Обе прогараммы поместили объекты в карантин. Но толку никакого. Почитав информацию в инете я понял, что надеяться на антивирусные программы в данном случае не стоит.
Так же уже пару раз фиксировался Нодом Win32/Adware.WinFixer.

Проявления вируса:
- замена стартовой страницы браузера на file:///C:/WINDOWS/system32/spywarewarning.mht. При открытии появляетя страница якобы антивирусной программы.
- Появление якобы системного окна с текстом о том, что компьютер заражен страшным вирусом и надо скачать программу для его удаления. Иногда подобное сообщение всплывает из правого нижнего угла. Частота примерно раз в 5 минут. Появление можно прекратить, закрыв левые процессы.
- отключение автообновления Windows.
- блокировка сайтов Касперского, Симантека, DrWeb и т.д. Зайти на них стало невозможно.
- появление странных процессов в памяти (типа AAAmon).

Вот все, что я заметил. Пробовал утилиты для удаление этих вирусов, не помогло. Нашел этот сайт и следуя инструкции проделал все требуемые операции. Результат во вложении.

[kps]

У Вас поселилось много зловредов. Отключите антивирус.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('%system32%\drivers\clbdriver.sys','');
 QuarantineFile('%system32%\clbddll.dll','');
 QuarantineFile('C:\WINDOWS\system32\isfrmwlj.exe','');
 QuarantineFile('C:\WINDOWS\system32:winsock32.exe','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\appdrv01.sys','');
 QuarantineFile('C:\WINDOWS\system32\vtUnomjG.dll','');
 QuarantineFile('C:\WINDOWS\system32\ssqNHbYS.dll','');
 QuarantineFile('c:\windows\system32\sens.dll','');
 QuarantineFile('C:\WINDOWS\system32\qjbbppum.dll','');
 QuarantineFile('C:\WINDOWS\system32\opsinged.dll','');
 QuarantineFile('C:\WINDOWS\System32\mscshl.dll','');
 QuarantineFile('c:\windows\portsv.exe','');
 QuarantineFile('c:\windows\system32\aaaamoni.exe','');
 QuarantineFile('c:\windows\444.471','');
 DeleteFile('c:\windows\444.471');
 DeleteFile('c:\windows\system32\aaaamoni.exe');
 DeleteFile('c:\windows\portsv.exe');
 DeleteFile('C:\WINDOWS\System32\mscshl.dll');
 DeleteFile('C:\WINDOWS\system32\opsinged.dll');
 DeleteFile('C:\WINDOWS\system32\qjbbppum.dll');
 DeleteFile('C:\WINDOWS\system32\ssqNHbYS.dll');
 DeleteFile('C:\WINDOWS\system32\vtUnomjG.dll');
 DeleteFile('C:\WINDOWS\system32:winsock32.exe');
 DeleteFile('C:\WINDOWS\system32\isfrmwlj.exe');
 DeleteFile('C:\WINDOWS\system32\byXNgfEv.dll');
 DeleteFile('C:\WINDOWS\system32\byXQIBsQ.dll');
 DeleteFile('C:\WINDOWS\system32\ddcASkLF.dll');
 DeleteFile('C:\WINDOWS\system32\ddcDtqRI.dll');
 DeleteFile('C:\WINDOWS\system32\hgGaxyWm.dll');
 DeleteFile('C:\WINDOWS\system32\hgGxXnom.dll');
 DeleteFile('C:\WINDOWS\system32\hgGyAqQJ.dll');
 DeleteFile('C:\WINDOWS\system32\khfFWqPj.dll');
 DeleteFile('C:\WINDOWS\system32\khfFxUMC.dll');
 DeleteFile('C:\WINDOWS\system32\nnnnKdcD.dll');
 DeleteFile('C:\WINDOWS\system32\ssqNHbYS.dll');
 DeleteFile('C:\WINDOWS\system32\wvUnMcdC.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\clbdriver.sys');
 DeleteFile('C:\WINDOWS\system32\clbdll.dll');
 DelBHO('818DF2BE-E791-4F23-BDEF-33600B92C177');
DelWinlogonNotifyByKeyName('byXNgfEv');
DelWinlogonNotifyByKeyName('byXQIBsQ');
DelWinlogonNotifyByKeyName('ddcASkLF');
DelWinlogonNotifyByKeyName('ddcDtqRI');
DelWinlogonNotifyByKeyName('hgGaxyWm');
DelWinlogonNotifyByKeyName('hgGxXnom');
DelWinlogonNotifyByKeyName('hgGyAqQJ');
DelWinlogonNotifyByKeyName('khfFWqPj');
DelWinlogonNotifyByKeyName('khfFxUMC');
DelWinlogonNotifyByKeyName('nnnnKdcD');
DelWinlogonNotifyByKeyName('ssqNHbYS');
DelWinlogonNotifyByKeyName('wvUnMcdC');
BC_ImportALL;
ExecuteSysClean;
BC_DeleteSvc('PlugPlayRPC');
BC_DeleteSvc('MsSecurity1.209.4');
BC_Activate;
ExecuteRepair(2);
ExecuteRepair(3);
ExecuteRepair(4);
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25536 ).

Очистите временные папки и кеш браузера.
Сделайте новые логи.

[HooliGUN]

Все сделал. Симптомы после этого пропали, больше ничего не появляется, на сайты антивирусов пускает.
Во вложении новые логи.

[kps]

c:\windows\system32\sens.dll - Вам нужно заменить на чистый (замену лучше проводить из консоли восстановления).
Потом выполните скрипт в AVZ:

Код:

begin
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\qoMdEVon.dll');
 DeleteFile('C:\WINDOWS\system32\vtUnomjG.dll');
DelWinlogonNotifyByKeyName('qoMdEVon');
BC_ImportDeletedList;
DelBHO('A7E6E1D1-5DBA-4E70-9787-9DE5A85D0DEB');
DelBHO('20E59CA2-78B0-4431-BFD0-D8B5ADFC0056');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новые логи.

[HooliGUN]

Все сделал. Вот новые логи.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 41
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\portsv.exe - Trojan.Win32.Agent.sdd (DrWEB: Trojan.Runex.3)
  2. c:\\windows\\system32\\aaaamoni.exe - not-a-virus:FraudTool.Win32.SecurityAlert.g (DrWEB: Trojan.MulDrop.18267)
  3. c:\\windows\\system32\\drivers\\clbdriver.sys - Rootkit.Win32.Clbd.cx (DrWEB: Trojan.NtRootKit.1297)
  4. c:\\windows\\system32\\mscshl.dll - Trojan.Win32.Zapchast.jd (DrWEB: Trojan.Starter.510)
  5. c:\\windows\\system32\\opsinged.dll - Trojan.Win32.Monder.ahv (DrWEB: Trojan.Virtumod.based.21)
  6. c:\\windows\\system32\\qjbbppum.dll - Trojan.Win32.Monder.wg (DrWEB: Trojan.Virtumod.based.21)
  7. c:\\windows\\system32\\vdgfufhw.dll - Trojan.Win32.Monder.wh (DrWEB: Trojan.Virtumod.based.21)
  8. c:\\windows\\system32\\vtunomjg.dll - Trojan.Win32.Monder.wi (DrWEB: Trojan.Virtumod.based.21)
  9. c:\\windows\\system32:winsock32.exe:$data - Trojan.Win32.Monderc.gen
  10. c:\\windows\\444.471 - Trojan-Downloader.Win32.Small.xpf