А Vundo ли это?

Началось все 15.04.08 с убийства Trojan.KillAV, через 2 часа в процессах появился svehost.exe, который был так же благополучно удален Symantec EndPoint Protection 11.
Перезагрузка... и началось... опять svehost.exe (коннектился с 213.172.175.14:53), hjrxadlp.dll, hemdukuq.dll, xxxvnfvn.dll - все файлы определяются SEP как Trojan.Vundo.
Самое интересное, что НИ ОДНА утилита для удаления Vundo ни чего не нашла :(
16.04.08 появились в системе phhbtxfe.dll, awrblhix.dll - эти коннектятся на 89.188.16.22.
В связи с чем возникает вопрос что это за вирусяга(и) и как это зло вывести?
Логи прилагаются.

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: (no name) - {6002E989-A070-476A-AAF1-2C19596792FA} - C:\WINDOWS\system32\xxyVNFVN.dll
O4 - HKLM\..\Run: [BM34f42d5a] Rundll32.exe "C:\WINDOWS\system32\phhbtxfe.dll",s
O4 - HKLM\..\Run: [37c71ec6] rundll32.exe "C:\WINDOWS\system32\awrblhix.dll",b[/CODE]


[URL="http://virusinfo.info/showthread.php?t=7239"]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/URL]

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\xxyVNFVN.dll','');
QuarantineFile('nnnonmMF.dll','');
QuarantineFile('C:\WINDOWS\system32\phhbtxfe.dll','');
QuarantineFile('C:\WINDOWS\system32\awrblhix.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnonmMF.dll','');
QuarantineFile('C:\WINDOWS\system32\hjrxadlp.dll','');
DeleteFile('C:\WINDOWS\system32\hjrxadlp.dll');
DeleteFile('C:\WINDOWS\system32\nnnonmMF.dll');
DeleteFile('nnnonmMF.dll');
DeleteFile('C:\WINDOWS\system32\phhbtxfe.dll');
DeleteFile('C:\WINDOWS\system32\awrblhix.dll');
DeleteFile('C:\WINDOWS\system32\xxyVNFVN.dll');
DelBHO('{B82F29E4-8368-4B14-9C00-5138C0D94034}');
DelBHO('{29E394E4-AF19-4CFF-8ADE-C6493D017672}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:[url]http://virusinfo.info/upload_virus.php?tid=21636[/url]

Повторите все логи как положено,почему у вас в архиве virusinfo_syscure карантин?

Файл сохранён как 080417_034401_virus_48070dd18487d.zip

Размер файла 428605

MD5400ad494475dcbb83b520a04f811aa83

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

[quote=Гриша;216676]
Повторите все логи как положено,почему у вас в архиве virusinfo_syscure карантин?[/quote]

AVZ так создал...
Сейчас вообще создает только virusinfo_cure.zip и все :O

Прошу прощения, замотался по-работе. Вот логи, virusinfo_syscure.zip получился пустой 8)

Все спокойно в Датском Королевстве? :)

В карантине все "свежее"

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: (no name) - {6F1BF5AE-BF0B-4EE6-9416-71659769B679} - C:\WINDOWS\system32\xxyVNFVN.dll (file missing)
[/CODE]

В логах чисто,жалобы есть?

Жалоб нет, все работает нормально... ОГРОМНОЕ спасибо :>

Нам интересно [URL="http://virusinfo.info/showthread.php?t=19883"]Ваше мнение [/URL]о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать [URL="http://security-advisory.virusinfo.info/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Если не затруднит, что же это за гадость была?

Это новые модификации Vundo

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]3[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\awrblhix.dll - [B]Trojan.Win32.Monder.j[/B] (DrWEB: Trojan.Virtumod.based)[*] c:\\windows\\system32\\phhbtxfe.dll - [B]Trojan.Win32.Monder.i[/B] (DrWEB: Trojan.Virtumod.based)[*] c:\\windows\\system32\\xxyvnfvn.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.qus[/B] (DrWEB: Trojan.Virtumod.based)[/LIST][/LIST]