Junior Member
Вес репутации
60
Помогите избавиться от Trojan.Virtumod.based.18
Доброго времени суток, началось с того, что каким то образом удалился файл NTLDR и перестала грузится винда. После восстановления dr.Web поймал 2 виря под общим названием Trojan.Virtumod.based.18. излечить не смог. Файлы удалил с помощью liveCD. После перезагрузки и сканирования вебом, обнаружился все тот же вирус но в файлах с другими именами. прикрепляю логи:
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите Доктора!
Пофиксить
Код:
O2 - BHO: (no name) - {267212FE-B77A-4C83-BB75-3F84B52A3BEE} - C:\WINDOWS\system32\byXPIccY.dll (file missing)
O2 - BHO: WRL Advisor - {AEFFF7D6-917C-4D8D-A780-7C2D69F1B01A} - C:\windows\nfavxwdbsxb.dll
O2 - BHO: (no name) - {D80814DC-9044-43F8-8651-811730591427} - C:\WINDOWS\system32\nnnkKCvv.dll (file missing)
O4 - HKLM\..\Run: [54e1a8f4] rundll32.exe "C:\windows\system32\rlssgelh.dll",b
O17 - HKLM\System\CCS\Services\Tcpip\..\{199F7DE6-3E83-4CDB-9450-F3FCFF0F5436}: NameServer = 85.255.115.27,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{63AF354D-4587-4C96-8DEE-95DF76F9A011}: NameServer = 85.255.115.27,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{DEBA13B5-D8FD-44A8-9094-081C3E4EA8B2}: NameServer = 85.255.115.27,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\..\{E2317E72-0BBD-452E-BE86-E13647CE10B9}: NameServer = 85.255.115.27,85.255.112.202
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.27 85.255.112.202
O17 - HKLM\System\CS1\Services\Tcpip\..\{199F7DE6-3E83-4CDB-9450-F3FCFF0F5436}: NameServer = 85.255.115.27,85.255.112.202
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.27 85.255.112.202
O20 - Winlogon Notify: byXPIccY - byXPIccY.dll (file missing)
O21 - SSODL: wnslvxtf - {D19D2175-29B4-4FED-BD84-52C62C97B98A} - C:\WINDOWS\wnslvxtf.dll (file missing)
O21 - SSODL: eqvwamkl - {1559F6A0-AE1B-40E6-9AFD-FA5D7EBD7FD6} - C:\windows\eqvwamkl.dll
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D80814DC-9044-43F8-8651-811730591427}');
DelBHO('{AEFFF7D6-917C-4D8D-A780-7C2D69F1B01A}');
DelBHO('{267212FE-B77A-4C83-BB75-3F84B52A3BEE}');
QuarantineFile('C:\WINDOWS\system32\byXPIccY.dll','');
QuarantineFile('C:\WINDOWS\wnslvxtf.dll','');
QuarantineFile('C:\windows\system32\rlssgelh.dll','');
QuarantineFile('C:\windows\eqvwamkl.dll','');
DeleteFile('C:\windows\eqvwamkl.dll');
DeleteFile('C:\windows\system32\rlssgelh.dll');
DeleteFile('C:\WINDOWS\wnslvxtf.dll');
DeleteFile('C:\WINDOWS\system32\byXPIccY.dll');
DeleteFile('byXPIccY.dll');
DeleteFile('C:\windows\nfavxwdbsxb.dll');
DeleteFile('C:\WINDOWS\system32\nnnkKCvv.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Пришлите карантин по правилам и повторите логи...
Junior Member
Вес репутации
60
сделал вышеописанное, вот логи:
Вложения
В логах чисто,жалобы есть?
Junior Member
Вес репутации
60
все вроде норм. спасибо за помощь.