Показано с 1 по 11 из 11.

Trojan.Virtumod (заявка № 9356)

  1. #1
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    36

    Thumbs up Trojan.Virtumod

    Грузится как плагин в IE7 и периодические выдает рекламу, жрет трафик.
    Касперский и Панда не видит.
    Dr.Web видит но удалить не может:

    Код:
     
    C:\Windows\System32\ 
    vtutt.dll
    fccayay.dll
    Вложения Вложения

  2. Реклама
     

  3. #2
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\FLASHS~1\save.htm','');
     QuarantineFile('C:\WINDOWS\system32\ghigjjat.dll','');
     QuarantineFile('C:\WINDOWS\system32\pmkhg.dll','');
     QuarantineFile('C:\WINDOWS\system32\vtutt.dll','');
     QuarantineFile('C:\WINDOWS\system32\rrgweerk.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\fccayay.dll','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите содержимое карантина согласно приложению 3 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    36
    Выполнил и загрузил.
    Файл сохранён как 070428_175101_virus_4633514505c81.zip
    Размер файла 415839
    MD5 0686656cbe97ac8c07c543eae3b133e5

  5. #4
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Попробуйте вручную найти файлы (см. приложение 2 правил):
    C:\WINDOWS\system32\ghigjjat.dll
    C:\WINDOWS\system32\pmkhg.dll
    Если найдутся - пришлите.

  6. #5
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    36
    Цитата Сообщение от Bratez Посмотреть сообщение
    Попробуйте вручную найти файлы (см. приложение 2 правил):
    C:\WINDOWS\system32\ghigjjat.dll
    C:\WINDOWS\system32\pmkhg.dll
    Если найдутся - пришлите.
    Ошибка карантина файла "C:\WINDOWS\system32\ghigjjat.dll", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\system32\pmkhg.dll", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Ладно, бьем их всех, тут сомнений нет, просто хотелось заполучить образцы - вдруг новые модификации... Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\SYSTEM32\fccayay.dll');
     DeleteFile('C:\WINDOWS\system32\rrgweerk.dll');
     DeleteFile('C:\WINDOWS\system32\vtutt.dll');
     DeleteFile('C:\WINDOWS\system32\pmkhg.dll');
     DeleteFile('C:\WINDOWS\system32\ghigjjat.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\rrgweerk.dll",realset
    и сделайте новые логи.

  8. #7
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    36
    Вышеуказанную строку в HiJackThis не нашел
    Вложения Вложения

  9. #8
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Всё ОК. Пофиксите теперь это, и дело сделано:
    Код:
    O2 - BHO: (no name) - {996A399D-BC0D-4885-BD51-A5A3F04C67E7} - C:\WINDOWS\system32\vtutt.dll (file missing)
    O2 - BHO: (no name) - {C7F39662-AC3B-4B80-8FC0-4034C01E73C1} - C:\WINDOWS\SYSTEM32\fccayay.dll (file missing)
    O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\ghigjjat.dll (file missing)
    O20 - Winlogon Notify: fccayay - fccayay.dll (file missing)
    O20 - Winlogon Notify: pmkhg - C:\WINDOWS\
    O20 - Winlogon Notify: vtutt - C:\WINDOWS\

  10. #9
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    36
    Профессионально, а главное оперативно, огромное человеческое спасибо!

    В дальнейшем, каким антивирусом посоветуете пользоваться в связке с SyGate Firewall?

  11. #10
    Global Moderator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,300
    Вес репутации
    1551
    Посмотрите эту картинку (статистика по Virustotal):
    http://virusinfo.info/attachment.php...7&d=1177758750
    Легко увидеть, кто есть who
    P.S. Лично я предпочитаю KIS.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,547
    Вес репутации
    941

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\fccayay.dll - not-a-virus:AdWare.Win32.Virtumonde.jc (DrWEB: Trojan.Virtumod)
      2. c:\\windows\\system32\\rrgweerk.dll - not-a-virus:AdWare.Win32.Virtumonde.hb (DrWEB: Trojan.Virtumod)
      3. c:\\windows\\system32\\vtutt.dll - not-a-virus:AdWare.Win32.Virtumonde.iz (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) Stalcer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Trojan.Virtumod
      От SweetOpium в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.07.2009, 17:43
    2. Trojan.Virtumod
      От Vovaldo в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 04:08
    3. trojan virtumod
      От aleklepp в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 02:28
    4. !!!!help Trojan.Virtumod!!!!!
      От partakabin в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 01:40
    5. Trojan.Virtumod.1466
      От Vagon в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 23.12.2008, 01:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00441 seconds with 21 queries