Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 26.

Ничего не помогает. Кажется trojan.virtumod (заявка № 6922)

  1. #1
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37

    Question Ничего не помогает. Кажется trojan.virtumod

    Здравствуйте! Прочитал правила, все сделал как там написано, жаль не помогло. Подхватил где-то вирус trojan.virtumod просканил его Dr.Web 4.33 никакмх результатов (он его видит, но не удаляет) Теперь проблемы с IE - при загрузке компьютера выскакивает окно об автономной работе в интернете с предложением о выборе соединиться или автономной работы. Далее написано что произошла какая-то ошибка и открывается окно IE с предложением скачать какую-то бесплатную антивирусную программу или бесплатно просканить компьютер, и еще много типа этих окон возникает. Плюс ко всему компьютер медленнее заметно стал работать

    Прочитал тему похожую на Вашем форуме, скачал avenger, он смог удалить зараженный файл (поместил его в свою директорию) я его попытался удалить, но из корзины он не удаляется, хотя там его по видимому нет.. Сейчас DrWeb 4.33 выдает такое сообщение время от времени: C:\windows\is67003.exe - инфицирован Trojan.Virtumod

    Надеюсь на Вашу помощь. Спасибо!
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Пришлите для изучения:
    Код:
    msupdsrv.exe
    C:\WINDOWS\System32\lssas.exe
    mysvcc.exe
    svcchost.exe
    C:\djfvqapx.bat
    C:\njcwcecs.bat
    C:\wrxywwwh.bat
    Не дожидаясь результата, можно сразу пофиксить в HijackThis:
    Код:
    O4 - HKLM\..\Run: [MSUpdSrv] msupdsrv.exe
    O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\System32\lssas.exe
    O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
    O4 - HKLM\..\Run: [msvcc25] svcchost.exe
    O4 - HKLM\..\Run: [gudrtqam] C:\djfvqapx.bat
    O4 - HKLM\..\Run: [ttiikcga] C:\njcwcecs.bat
    O4 - HKLM\..\Run: [jnhnywaf] C:\wrxywwwh.bat
    O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
    O4 - HKLM\..\RunServices: [msvcc25] svcchost.exe
    O13 - DefaultPrefix: http://htpp.ws?
    O13 - WWW Prefix: http://htpp.ws?
    O15 - Trusted Zone: *.p0rt2.com
    O16 - DPF: {205FF73B-CA67-11D5-99DD-444553540000} (CInstall Class) - http://www.spywarestormer.com/files2/Install.cab
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} - 
    O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
    O21 - SSODL: SystemCheck2 - {54645654-2225-4455-44A1-9F4543D34546} - C:\WINDOWS\System32\vbsys2.dll (file missing)
    Подробности - по ссылкам в подписи.

  4. #3
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    1. Все пофиксил, результатов пока никаких по прежнему возникает окно при загрузке об автономной работе, IE начинает работу с автономного режима, интернет страшно тормозит, не знаю как я это сообщение написал - очень долго.

    2. Первый файл .exe - не найден, поиск не дал результатов. И фалов с расширением .bat тоже. Высылаю Вам три .exe которые Вы просили. Благодарю за помощь.
    Последний раз редактировалось RiC; 27.11.2006 в 21:31.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Скачайте Vundofix
    Запустите выберите сначала Scan for Vundo потом Remove Vundo после перезагрузитесь и повторите 2 последних лога из правил.

  6. #5
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    Скачал, все сделал, прикрепляю два последних лога из правил. Сообщения об автономной работе перестали появляться, интернет нормально заработал. Но внезапно возникло сообщение что компьтер перезагрузится через минуту, сообщение: "произошла ошибка в системе C:\Windows\system32\Isass.exe с каким-то там програмным кодом" по истечение минуты комп перезагрузился, и я ничего не смог сделать, что это? Спасибо за помощь.

    P.S. А вот еще появляется сообщение: от System для Alert с предложением скачать fixwindows.org и проверить компьютер. Странно ведь все остальное нормально работает... Могу скриншот прислать этого сообщения.
    Вложения Вложения
    Последний раз редактировалось jerry; 27.11.2006 в 23:43.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от jerry
    Скачал, все сделал, прикрепляю два последних лога из правил. Сообщения об автономной работе перестали появляться, интернет нормально заработал. Но внезапно возникло сообщение что компьтер перезагрузится через минуту, сообщение: "произошла ошибка в системе C:\Windows\system32\Isass.exe с каким-то там програмным кодом" по истечение минуты комп перезагрузился, и я ничего не смог сделать, что это? Спасибо за помощь.
    Ещё не всё - продолжение, мне честно говоря Vundo лень стало руками выковыривать.
    Запускаете AVZ, включаете AVZGuard -
    Потом "Файл" => "Выполнить скрипт"
    Код:
    begin
     QuarantineFile('C:\WINDOWS\System32\wer8274.dll','');
     QuarantineFile('C:\Windows\system32\Isass.exe','');
     QuarantineFile('C:\WINDOWS\System32\pmkjh.dll','');
     QuarantineFile('C:\blgpuefy.bat','');
     QuarantineFile('C:\WebServers\etc\utils\Boot.exe','');
     QuarantineFile('C:\WINDOWS\system32\byxyaxu.dll','');
     QuarantineFile('c:\windows\system32\mysvcc.exe','');
     QuarantineFile('C:\Program Files\PViever\pviever.exe','');
     DeleteFile('C:\Windows\system32\Isass.exe','');
     DeleteFile('C:\Program Files\PViever\pviever.exe');
     DeleteFile('c:\windows\system32\mysvcc.exe');
     DeleteFile('C:\WINDOWS\system32\byxyaxu.dll');
     DeleteFile('C:\blgpuefy.bat');
     DeleteFile('C:\WINDOWS\System32\pmkjh.dll');
     DeleteFile('C:\WINDOWS\System32\wer8274.dll');
     ExecuteSysClean;
    end.
    После запустите как доверенное приложение (AVZGuard=>Запустить ...) HijackHis и пофиксите строки -

    Код:
    O2 - BHO: (no name) - {3747773D-1D18-4957-B96F-C0CD6273CB4F} - C:\WINDOWS\system32\byxyaxu.dll (file missing)
    O2 - BHO: (no name) - {CB1CE625-B3EF-44E3-9E0F-D1195EC04A1D} - C:\WINDOWS\System32\pmkjh.dll (file missing)
    O2 - BHO: Cls - {CF021F40-3E14-23A5-CBA2-717765728274} - C:\WINDOWS\System32\wer8274.dll (file missing)
    O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
    O4 - HKLM\..\Run: [PViever] "C:\Program Files\PViever\pviever.exe" hide
    O4 - HKLM\..\Run: [ipsfarga] C:\blgpuefy.bat
    O4 - HKLM\..\Run: [mysvcig38] mysvcc.exe
    O4 - HKLM\..\RunServices: [mysvcig38] mysvcc.exe
    O20 - Winlogon Notify: byxyaxu - byxyaxu.dll (file missing)
    Затем закройте Hijack и перегрузитесь не выходя из AVZ и не отключая Guard.

    Пришлите то, что попало AVZ в карантин.

    Обновите DrWeb и проверьте компьютер.

    Повторите те-же 2 лога для проверки.
    Последний раз редактировалось RiC; 28.11.2006 в 00:26.

  8. #7
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    Запускаю AVZ, включаю AVZGuard -
    Потом "Файл" => "Выполнить скрипт" но что дальше? Куда вышеприведенный код поместить? Я не могу создать никакого файла кроме папки, говорит нет доступа или что-то вроде того...
    Последний раз редактировалось jerry; 28.11.2006 в 19:00.
    [FONT=Tahoma]С уважением, Дмитрий. [URL]http://www.soccerland.ru[/URL] - футбольная страна![/FONT]

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от jerry
    Запускаю AVZ, включаю AVZGuard -
    Потом "Файл" => "Выполнить скрипт" но что дальше?
    Копируете текст из рамки в открывшееся окно, нажимаете выполнить.

    Цитата Сообщение от jerry
    И как включить как доверенное приложение?
    Меню "AVZGuard" из него выбираете "Запустить приложение как доверенное" в появившемся окне выбираете файл HijackThis.exe

  10. #9
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    Сделал все как написали, не выходит, появляется ошибка: too many actual parameters в позиции 10:12.

    Вирус не дает ничего сделать, приходиться перегружатся каждые пять минут чтобы написать Вам.
    [FONT=Tahoma]С уважением, Дмитрий. [URL]http://www.soccerland.ru[/URL] - футбольная страна![/FONT]

  11. #10
    Geser
    Guest
    Цитата Сообщение от jerry
    Сделал все как написали, не выходит, появляется ошибка: too many actual parameters в позиции 10:12.

    Вирус не дает ничего сделать, приходиться перегружатся каждые пять минут чтобы написать Вам.
    В скрипте ошибка.
    Нужно так:


    Код:
    begin
     QuarantineFile('C:\WINDOWS\System32\wer8274.dll','');
     QuarantineFile('C:\Windows\system32\Isass.exe','');
     QuarantineFile('C:\WINDOWS\System32\pmkjh.dll','');
     QuarantineFile('C:\blgpuefy.bat','');
     QuarantineFile('C:\WebServers\etc\utils\Boot.exe','');
     QuarantineFile('C:\WINDOWS\system32\byxyaxu.dll','');
     QuarantineFile('c:\windows\system32\mysvcc.exe','');
     QuarantineFile('C:\Program Files\PViever\pviever.exe','');
     DeleteFile('C:\Windows\system32\Isass.exe');
     DeleteFile('C:\Program Files\PViever\pviever.exe');
     DeleteFile('c:\windows\system32\mysvcc.exe');
     DeleteFile('C:\WINDOWS\system32\byxyaxu.dll');
     DeleteFile('C:\blgpuefy.bat');
     DeleteFile('C:\WINDOWS\System32\pmkjh.dll');
     DeleteFile('C:\WINDOWS\System32\wer8274.dll');
     ExecuteSysClean;
    end.

  12. #11
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    Спасибо. Все заработало теперь. Высылаю что было в карантине AVZ. Надо ли перед проверкой компьютера антивирусом отключать восстановление системы? Вот что нашел Dr.Web 4.33 обновленный вчера: C:\WINDOWS\system32\wsh.exe - инфицирован Win32.HLLW.MyBot.based
    Последний раз редактировалось Shu_b; 28.11.2006 в 20:19.
    [FONT=Tahoma]С уважением, Дмитрий. [URL]http://www.soccerland.ru[/URL] - футбольная страна![/FONT]

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Если хотите прислать файл, то, пожалуйста, делайте это в соответствии с правилами.

    Файл сохранён как 061128_122231_2006-11-28_456c7057dfc3f.rar
    Размер файла 76637
    MD5 349372d6eb1499fa71bb536a5bc6ac5c

  14. #13
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    Все время появляется это сообщение в отдельном окне:

    Сообщение от SYSTEM для ALERT на 27.11.2006 23:39

    STOP!Windows Requires Immediate Attention!
    Windows has found critical ERRORS

    To fix the errors please do the following:
    1. Download registred cleaner from: .clean32.com
    2. Install registred cleaner
    3. Run registred cleaner
    4. Reboot your computer

    FAILURE TO ACT NOW MAY LEAD TO DATA LOSS AND CORRUPTION!

    Что с этим делать? Остальное вроде все нормально работает. А это сообщение каждые пять минут выскакивает. Помогите пожалуйста. Спасибо.
    Последний раз редактировалось Shu_b; 28.11.2006 в 22:21.
    [FONT=Tahoma]С уважением, Дмитрий. [URL]http://www.soccerland.ru[/URL] - футбольная страна![/FONT]

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Вообще надо устанавливать SP2 и все последующие заплатки на систему.
    А избавиться от окошек можно отключив службу сообщений. (что и делается при установке SP2)

  16. #15
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    Т.е. мне никак не избавиться от этих окон? Значит вся проблема в том что у меня SP1? Но ведь раньше (до вируса) все нормально было. Есть ли еще какой-нибудь способ?

    P.S. Благодарю за помощь! Успехов и удачи Вашему проекту.
    [FONT=Tahoma]С уважением, Дмитрий. [URL]http://www.soccerland.ru[/URL] - футбольная страна![/FONT]

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Цитата Сообщение от jerry
    Есть ли еще какой-нибудь способ?
    С картинками - http://z-oleg.com/secur/advice/adv1106.php

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    544
    Цитата Сообщение от jerry
    Т.е. мне никак не избавиться от этих окон? Значит вся проблема в том что у меня SP1? Но ведь раньше (до вируса) все нормально было. Есть ли еще какой-нибудь способ?
    К примеру такой -
    Пуск => Выполнить
    2 команды по очереди
    sc stop Messenger
    sc config Messenger start= disabled

    Но всё равно от установки фаервола, SP2 и заплаток вам не отвертется, в противном случае Вы станете постоянным посетителем этого раздела.

  19. #18
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    Спасибо еще раз. Пока Dr.Web постоянно обнаруживает какой-то BackDoor, почему, ведь я каждый раз его удаляю? Где можно взять этот файервол? Можно где-нибудь скачать?
    [FONT=Tahoma]С уважением, Дмитрий. [URL]http://www.soccerland.ru[/URL] - футбольная страна![/FONT]

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Цитата Сообщение от jerry
    Пока Dr.Web постоянно обнаруживает какой-то BackDoor
    Какой и где?

    Цитата Сообщение от jerry
    почему, ведь я каждый раз его удаляю?
    Например, пропихивают по сети, у вас же не система, а решето.

    Цитата Сообщение от jerry
    Где можно взять этот файервол?
    http://virusinfo.info/showthread.php?t=1431

  21. #20
    Junior Member Репутация
    Регистрация
    27.11.2006
    Адрес
    Саратов - деревня такая.
    Сообщений
    13
    Вес репутации
    37
    В интернете вообще не могу работать, возникает какая-то ошибка: что win32 произошла ошибка - и с этого момента не могу отключить подключение к интернет и не одна страница интернета не открывается. Это только когда подключен к инету, а так все нормально работает. Что может помочь в этом? Почему Dr Web 4.33 не помогает? Зашел на http://www.agnitum.com/ - не могу найти бесплатную версию, только платные.

    P.S. Прошу прощения за свои проблемы, наверное Вас уже замучал своими жалобами.
    Последний раз редактировалось jerry; 29.11.2006 в 21:34.
    [FONT=Tahoma]С уважением, Дмитрий. [URL]http://www.soccerland.ru[/URL] - футбольная страна![/FONT]

  • Уважаемый(ая) jerry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Страница 1 из 2 12 Последняя

    Похожие темы

    1. Trojan.Virtumod
      От SweetOpium в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.07.2009, 17:43
    2. Trojan.Virtumod
      От Vovaldo в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 04:08
    3. trojan virtumod
      От aleklepp в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 02:28
    4. Trojan.Virtumod
      От Stalcer в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 01:44
    5. !!!!help Trojan.Virtumod!!!!!
      От partakabin в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 01:40

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00716 seconds with 22 queries