Вирус Trojan.Virtumod.260, Помогите вычистить.

Printable View

13.02.2008, 09:26
Jhon10

Вложений: 3

Вирус Trojan.Virtumod.260, Помогите вычистить.

Вирус по всей видимости прибыл с письмом:
Письмо с известного сервера postcard.ru -> Вам пришла открытка и т.д.,
Я подумал что кто нибудь из знакомых послал и "нажал на педаль".
Т.е. маскировка и очень правдивая.
После этого попал на сайт, который высвечивается как: 83. ... , полный адрес не запомнил, но смогу прислать при следующем обращении к нему.
Дальше глюки с инетом, куча окошек, среди которых он предлагает сохранить файл с длинным - длинным названием и расширением exe. После этого высвечивается окошко среди текстовки просматривается фраза To clean C: Но вроде как ничего не происходит даже если нажмешь ОК.
Пробовал вычистить с помощью CureIt говорит, что лечится, НО при перезагрузке системы, система впадает в транс и восстанавливает FAT (у меня FAT ), т.е. примерно как после резкого обрыва питания.
После загрузки система говорит, что восстановлена после серьезной ошибки и еще говорит что то про реестр.
Вирус опять просматривается уже в других файлах.
Дальше: принудительно отключаю все подозрительные процессы с помощью procexp и проверяю на вирусы -> Вирусов не находит.
И не находит вирусов до тех пор пока не откроешь браузер Mozilla. (До конца не отслеживал, но вроде так и есть).
Далее все заново.
Находит вирусы: Virtumod, а еще Trojan.Starter с различными модификациями.
Вроде все описал. Спасибо.
13.02.2008, 09:49
akok

virus.zip - это карантин, уберите!
13.02.2008, 10:01
Jhon10

Как убрать прицепленные файлы?

Прошу прощения за мою безграмотность.
Пытаюсь убрать файл virus.zip Правка -> Расширенный режим -> Управление вложениями -> удалить ( virus.zip)
Но выскакивает сообщение: недостаточно прав. (Вроде зашел под своим аккаунтом и в своей теме)
13.02.2008, 10:15
akok

Модератор уже почистил

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\urqromn.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqppnk.dll','');
QuarantineFile('C:\Documents and Settings\jhon.JHON-MEDUSA\Local Settings\Temp\~DF9DDC.tmp','');
QuarantineFile('C:\WINDOWS\System32\ffdhlrng.dll','');
QuarantineFile('whost.dll','');
QuarantineFile('emqlasja.dll','');
QuarantineFile('C:\WINDOWS\system32\sammonNT.dll','');
QuarantineFile('C:\WINDOWS\System32\urqromn.dll','');
QuarantineFile('C:\WINDOWS\System32\mljge.dll','');
QuarantineFile('C:\WINDOWS\System32\cyttaotm.dll','');
QuarantineFile('C:\WINDOWS\system32\emqlasja.dll','');
DeleteFile('C:\WINDOWS\System32\mljge.dll');
DeleteFile('emqlasja.dll');
DeleteFile('C:\WINDOWS\System32\urqromn.dll');
DeleteFile('C:\WINDOWS\System32\cyttaotm.dll');
DeleteFile('whost.dll');
DeleteFile('C:\WINDOWS\System32\ffdhlrng.dll');
DeleteFile('C:\Documents and Settings\jhon.JHON-MEDUSA\Local Settings\Temp\~DF9DDC.tmp');
DeleteFile('C:\WINDOWS\system32\ssqppnk.dll');
DeleteFile('c:\windows\system32\urqromn.dll');
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-222222222222}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
DelBHO('{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}');
DelBHO('{45df1af3-eaaa-49dc-9e38-483efd983d6f}');
DelBHO('{B42F1B7B-8EE2-48D1-9C34-C025B73E12C8}');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17974[/url]

Повторите логи

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Прямое чтение C:\Documents and Settings\jhon.JHON-MEDUSA\Мои документы\pos*.tmp
Прямое чтение C:\pos*.tmp

Пару файликов находящихся по вышеуказанным адресам, пришлите согласно правил
13.02.2008, 11:01
Jhon10

Вложений: 3

Чистка вируса Этап 2

Карантин отправил по ссылке.
Новые логи прицепил к ответу.
Комп на вирусы еще не проверял.
В логах у меня есть еще файл virusinfo_cure если его надо то тоже отправлю.

Спасибо за содействие.
13.02.2008, 11:24
V_Bond

пофиксите ....
[code]
R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\System32\emqlasja.dll
O2 - BHO: (no name) - {ABD66641-8E38-48FA-BD8E-93F6D3C87298} - C:\WINDOWS\System32\mljge.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: emqlasja - C:\WINDOWS\
O20 - Winlogon Notify: urqromn - urqromn.dll (file missing)
O21 - SSODL: system - {6AD01059-32CF-4494-A183-19ED54DCA686} - (no file)
[/code]
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\mljge.dll','');
QuarantineFile('C:\WINDOWS\System32\emqlasja.dll','');
DeleteFile('C:\WINDOWS\System32\emqlasja.dll');
DeleteFile('C:\WINDOWS\System32\mljge.dll');
DelBHO('{ABD66641-8E38-48FA-BD8E-93F6D3C87298}');
DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
14.02.2008, 09:51
Jhon10

Вложений: 3

Вроде чисто

Доброе утро всем.

Скрипты выполнил.
Карантин пустой.
Логи присылаю.
AVZ не видит ничего подозрительного (на сколько я понимаю), не видит также и CureIt.

Огромное спасибо.
14.02.2008, 10:11
wise-wistful

[quote]Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)[/quote]
Это нужно обовить до SP2 и v7 соответственно + все критические обновления.
14.02.2008, 10:24
akok

В логах чисто
14.02.2008, 12:10
Jhon10

Спасибо.

Спасибо за рекомендации и за помощь.

Мне файлы pos*.tmp присылать? или уже отпала необходимость? (только сейчас увидел в сообщении).
14.02.2008, 12:40
akok

Лучше удалить...
22.02.2009, 03:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cyttaotm.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.272)[*] c:\\windows\\system32\\emqlasja.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dnn[/B] (DrWEB: Trojan.Virtumod.260)[*] c:\\windows\\system32\\ffdhlrng.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.269)[*] c:\\windows\\system32\\mljge.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.268)[*] c:\\windows\\system32\\ssqppnk.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dyn[/B] (DrWEB: Trojan.Virtumod.240)[*] c:\\windows\\system32\\urqromn.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.dyn[/B] (DrWEB: Trojan.Virtumod.240)[/LIST][/LIST]