Adware Virtumonde и Tiny.Id троян

Здравствуйте!

В течение последних 5 дней NOD32 обнаруживает вот эти вирусы (Virtumonde и Tiny.ID), вроде бы удаляет, но на следующий день опять они же всплывают. Может, у меня еще какой вирус поселился?

выполните скрипт ...
[code]
begin
QuarantineFile('C:\WINDOWS\dr.exe','');
QuarantineFile('C:\WINDOWS\user32.exe','');
QuarantineFile('C:\WINDOWS\system32\wunauclt.exe','');
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
задания в планировщике я думаю не ваши ?

Карантин закачан. Только при выполнении скрипта получено вот что:
"Ошибка карантина файла, попытка прямого чтения (C:\WINDOWS\system32\wunauclt.exe)
Карантин с использованием прямого чтения - ошибка"

Задания не мои - это точно.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\iefbhebk.dll','');
QuarantineFile('C:\WINDOWS\system32\awvvt.dll','');
DeleteFile('C:\WINDOWS\system32\awvvt.dll');
DeleteFile('C:\WINDOWS\system32\iefbhebk.dll');
DeleteFile('C:\Program Files\dr.exe');
DeleteFile('C:\WINDOWS\user32.exe');
DeleteFile('C:\WINDOWS\dr.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите новый карантин по правилам.
Задания в Планировщике удалите.
Сделайте новые логи.

C:\Program Files\dr.exe [B]Trojan.Win32.Obfuscated.lf[/B]
C:\WINDOWS\user32.exe [B]Trojan-Dowloader.Win32.Small.guf[/B]
C:\Program Files\serial.zip -стоит тоже удалить...
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\wunauclt.exe','');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Карантин закачан. Задания в планировщике удалены.

Теперь нужны новые логи.

Сделано.

Пофиксите в HijackThis:
[code]
O2 - BHO: {f07ef8de-63d3-1e48-5014-c37149735c94} - {49c53794-173c-4105-84e1-3d36ed8fe70f} - C:\WINDOWS\system32\iefbhebk.dll (file missing)
O2 - BHO: (no name) - {BCDBF8DB-EDC6-4A29-A881-D2A59CE61220} - C:\WINDOWS\system32\awvvt.dll (file missing)
[/code]
Из карантина AVZ пришлите файл:
C:\Program Files\MATLAB\R2007a\bin\win32\mclxlmain76.dll
Скорее всего, он нормальный, просто для успокоения души ;)

И еще посмотрите, что вам нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.

пофиксите(крек для сп1 думаю не нужен) ...
[code]
O20 - Winlogon Notify: reset5 - C:\WINDOWS\SYSTEM32\reset5.dll
[/code]
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\progra~1\common~1\instal~1\update~1\isuspm.exe','');
DeleteFile('C:\WINDOWS\system32\awvvt.dll');
DeleteFile('C:\WINDOWS\system32\iefbhebk.dll');
DelCLSID('BCDBF8DB-EDC6-4A29-A881-D2A59CE61220');
DelCLSID('49c53794-173c-4105-84e1-3d36ed8fe70f');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Все сделано. Карантин закачан.

присланный файл по вирустотал -чист ....
сделайте лог hijackthis ....

Лог:

все чисто ...

Спасибо!

Спасибо у нас не говорят, а нажимают ;)

Если что,заходите еще :)