Просмотр полной версии : Win32/Adware.Virtumonde.NEO
Devil4enok
07.04.2009, 18:56
Обновил НОД32 (3.0.667.0) сразу же всплыло окошко -
Объект С:\WINDOWS\system32\iihponnn.ini
Угроза Win32/Adware.Virtumonde.NEO приложение
очищен удалением - изолирован
И это окошко зацикливается... Снимал винт, проверял на другом компьютере, нашел, вылечил. Не помогло. Заранее спасибо.
Выполнить скрипт:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearHostsfile;
QuarantineFile('C:\Documents and Settings\Alexey\Local Settings\Application Data\Microsoft\OFFICE\Alerts\WatsonAlertHelp.htm', '');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('C:\WINDOWS\system32\xxyvtQhf.dll', '');
DelBHO('{D3CAE647-C9BB-4BEF-AF0C-97BD70278970}');
DelBHO('{31c111b1-b42f-4f0c-bc6b-eea9e561593f}');
DelBHO('{1FE1157E-CD93-47DC-82A5-E2B33C6ECBCA}');
QuarantineFile('C:\WINDOWS\system32\cjaxuj.dll','' );
DeleteService('Winxt77');
DeleteService('Winxt55');
DeleteService('Winxm55');
DeleteService('Winww33');
DeleteService('Winvt77');
DeleteService('Winvm55');
DeleteService('Winuu88');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq4 4.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winpi7 7.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winsd2 2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winug1 1.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winug3 3.sys','');
DeleteService('Winug33');
DeleteService('Winug11');
DeleteService('Winsd22');
DeleteService('Winpi77');
DeleteService('Winlq44');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlc6 6.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winle8 8.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winlj8 8.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winll0 0.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winll7 7.sys','');
DeleteService('Winll77');
DeleteService('Winll00');
DeleteService('Winlj88');
DeleteService('Winle88');
DeleteService('Winlc66');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winig6 6.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winiw0 0.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winiw2 2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winkk0 0.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winla7 7.sys','');
DeleteService('Winla77');
DeleteService('Winkk00');
DeleteService('Winiw22');
DeleteService('Winiw00');
DeleteService('Winig66');
DeleteService('Winhm88');
DeleteService('Winhh88');
DeleteService('Winfv22');
DeleteService('Wingn33');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm8 8.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winhh8 8.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn3 3.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winfv2 2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winen7 7.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Winee2 2.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windr7 7.sys','');
DeleteService('Winen77');
DeleteService('Winee22');
DeleteService('Windr77');
QuarantineFile('C:\WINDOWS\System32\Drivers\Windd0 0.sys','');
DeleteService('Windd00');
DeleteService('WZCSVCSENS');
DeleteService('SENSBrowser');
DeleteService('MessengerRDSessMgr');
DeleteService('ERSvcseclogon');
DeleteService('dmadminEventSystem');
QuarantineFile('C:\WINDOWS\system32\nnnoPhii.dll', '');
DeleteFile('C:\WINDOWS\system32\nnnoPhii.dll');
DeleteFile('C:\WINDOWS\System32\Drivers\Windd00.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Windr77.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winee22.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winen77.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winfv22.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Wingn33.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhh88.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winhm88.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winla77.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winkk00.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winiw22.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winiw00.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winig66.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winll77.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winll00.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlj88.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winle88.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlc66.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winug33.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winug11.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winsd22.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winpi77.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winlq44.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winuu88.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvm55.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winvt77.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winww33.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxt77.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxt55.sy s');
DeleteFile('C:\WINDOWS\System32\Drivers\Winxm55.sy s');
DeleteFile('C:\WINDOWS\system32\cjaxuj.dll');
DeleteFile('C:\WINDOWS\system32\xxyvtQhf.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделать заново логи после перезагрузки.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43401
Devil4enok
08.04.2009, 06:47
Выполнил скрипт. Нод больше не ругается. Карантин выслал, логи прикладываю. Спасибо.
"Пофиксите" (http://www.virusinfo.info/showthread.php?t=4491) в HijackThis
O2 - BHO: (no name) - {4091E1A8-BE63-43A7-A328-846CA9270FEA} - C:\WINDOWS\system32\nnnoPhii.dll (file missing)
O20 - Winlogon Notify: rqRjKBrs - C:\WINDOWS\
O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\
O20 - Winlogon Notify: __c00A94CD - C:\WINDOWS\
В AVZ -> файл-> Выполнить скрипт (http://virusinfo.info/showthread.php?t=7239)
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelCLSID('{44c0c633-86ff-419e-982e-eb5df1a71abb}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{4091E1A8-BE63-43A7-A328-846CA9270FEA}');
DeleteFile('srv.exe');
DeleteFile('C:\WINDOWS\system32\nnnoPhii.dll');
DeleteFile('C:\WINDOWS\system32\cjaxuj.dll');
BC_ImportDeletedList;
BC_DeleteSvc('WZCSVCSENS');
BC_DeleteSvc('SENSBrowser');
BC_DeleteSvc('MessengerRDSessMgr');
BC_DeleteSvc('ERSvcseclogon');
BC_DeleteSvc('dmadminEventSystem');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Повторите пункты 2 и 3 диагностики.
Это ваше?
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 1.2.3.1:8080
Devil4enok
08.04.2009, 09:40
Пофиксил, скрипт выполнил. Настройки прокси были.Убрал.
Согласно пункта 2 и 3 выкладываю логи. Спасибо.
Что с проблемами?
Устнановите Internet Explorer 8.
CyberHelper
09.04.2009, 09:43
Статистика проведенного лечения:
Получено карантинов: 1
Обработано файлов: 2
В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\nnnophii.dll - not-a-virus:AdWare.Win32.Virtumonde.avsh ( DrWEB: Trojan.Virtumod.855, BitDefender: Trojan.Vundo.Gen.3 )
vBulletin® v4.2.5, Copyright ©2000-2025, Jelsoft Enterprises Ltd. Перевод: zCarot