-
Вложений: 3
Заражение "Virtumod"ами
Здравствуйте.
Произошло заражение Virtumod 274 и 269. AviraAntivir орал неумолкая C:\WINDOWS\system32\mljjh.dll.
Пока разбирался с инструкцией полная проверка Spyware Doctor удалила 274 (25 заражений) и повторная (2 заражения).
CureIT удалил 269. HijackThis не запустился. Рабтает 1.bat.
При запуске компьютера или IE запускается функция "Работать автономно" несмотря на предыдущее отключение.
Пока писал сообщение антивир 3 раза ругнулся C:\WINDOWS\system32\*.dll. Запустил полную Spyware Doctor - на 79% - 6 заражений.
Жду помощи.
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('C0D29A08-7E59-4A92-906E-F58860CC75D0');
DelBHO('530B6F23-9548-4928-A66B-092392C6B079');
QuarantineFile('C:\WINDOWS\system32\mljjh.dll','');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\amsint.sys','');
QuarantineFile('C:\WINDOWS\system32\sstqq.dll','');
QuarantineFile('C:\WINDOWS\system32\qommmlk.dll','');
DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
DeleteFile('C:\WINDOWS\system32\sstqq.dll');
DeleteFile('C:\WINDOWS\system32\mljjh.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=18159[/url]
AGAVA antispam удалите самостоятельно...
3. Повторите логи
-
Вложений: 3
После повторных чисток Spyware Doctor и Avira, CureIT ничего не нашел.
[QUOTE=rubin;188856]
AGAVA antispam удалите самостоятельно...
[/QUOTE]
Подскажите где она у меня. Я такую не устанавливал и "Поиск" ничего не показал.
Все остальное выполнил. "Автономная работа" IE больше самостоятельно не запускается.
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Надать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{35A6E2B1-27A9-47D2-913C-559E1EF1D034}');
DelBHO('{E0249CF1-986F-4870-951F-A1DAC894801E}');
DelBHO('{23D44BCF-AA7A-41D6-8905-E808F16322EF}');
QuarantineFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe','');
QuarantineFile('C:\Program Files\Common Files\Target Marketing Agency\TMAgent\tmagent.dll','');
QuarantineFile('C:\WINDOWS\TEMP\mc21.tmp','');
DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
DeleteFile('C:\WINDOWS\system32\sstqq.dll');
DeleteFile('C:\WINDOWS\TEMP\mc21.tmp');
BC_ImportAll;
BC_DeleteFile('C:\WINDOWS\system32\qommmlk.dll');
BC_DeleteFile('C:\WINDOWS\system32\sstqq.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]F3 - REG:win.ini: load=
F3 - REG:win.ini: run=
O20 - Winlogon Notify: qommmlk - qommmlk.dll (file missing) [/CODE]
Повторите логи.
-
Вложений: 3
Перед выполнением скриптов проверку CureIT не делал. Если необходимо выполнять каждый раз, то сообщите.
Все остальное сделал.
-
C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe [B]not-a-virus:AdTool.Win32.TMAgent.h[/B]
C:\WINDOWS\system32\qommmlk.dll [B]not-a-virus:AdWare.Win32.Virtmonde.gen[/B]
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи начиная с пункта 10 правил ....
-
Вложений: 2
Скрипт выполнил.
[QUOTE=V_Bond;189215]C:\PROGRA~1\COMMON~1\TARGET~1\TMAgent\tmasrv.exe [B]not-a-virus:AdTool.Win32.TMAgent.h[/B]
C:\WINDOWS\system32\qommmlk.dll [B]not-a-virus:AdWare.Win32.Virtmonde.gen[/B]
[/QUOTE]
А как быть с этим? Или это для информации?
-
все злодеи уничтожены ...
какие-то проблемы остались ?
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]38[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\common files\\target marketing agency\\tmagent\\tmagent.dll - [B]not-a-virus:AdTool.Win32.TMAagent.o[/B][*] c:\\progra~1\\common~1\\target~1\\tmagent\\tmasrv.exe - [B]not-a-virus:WebToolbar.Win32.TMAagent.h[/B][*] c:\\windows\\system32\\qommmlk.dll - [B]Trojan.Win32.Monder.gen[/B] (DrWEB: Trojan.Virtumod.240)[/LIST][/LIST]
Page generated in 0.01037 seconds with 10 queries