-
Помогите,Virtumonde
Во время установки некоторого ПО,нод32 оповестил о наличии там вирусов,в том числе и virtumonde,он прекртаили установку,но было поздно.в автозагрузку начали прописываться непонятные dll из папки system32, не открываются веб-страницы до тех пор,пока через диспчетчер задач не убить explorer,а потом не запустить его заново.плюдс система стала жутко тормозить.помогите,пожалуйста исправить эту незадачу.
[size="1"][color="#666686"][B][I]Добавлено через 8 минут[/I][/B][/color][/size]
почему-то не вложилось в первое сообщение(пришлось добавить здесь.
-
Что-то снова у Вас не получилось логи вложить.
-
Вложений: 3
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dowqfntm.dll','');
DelBHO('{80B0DE45-9ADF-421C-8DDF-1461D4B24372}');
DelBHO('{769D8280-A207-4EEA-9963-F8B156C32855}');
QuarantineFile('C:\WINDOWS\kvxqmtre.dll','');
QuarantineFile('C:\WINDOWS\evgratsm.dll','');
QuarantineFile('C:\DOCUME~1\Homer\LOCALS~1\Temp\Setup_ver1.1400.0.exe','');
QuarantineFile('C:\WINDOWS\system32\pmnNeCTL.dll','');
QuarantineFile('C:\WINDOWS\system32\iifecdaw.dll','');
DeleteFile('C:\WINDOWS\system32\iifecdaw.dll');
DeleteFile('C:\WINDOWS\system32\pmnNeCTL.dll');
DeleteFile('pmnNeCTL.dll');
DeleteFile('C:\WINDOWS\system32\dowqfntm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=26917[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
[/CODE]
Повторите логи.
-
Вложений: 3
-
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{812AE34E-162C-4C94-BAA1-A2C0431AEC84}');
QuarantineFile('C:\WINDOWS\kgxmotapktx.dll','');
DelBHO('{769D8280-A207-4EEA-9963-F8B156C32855}');
QuarantineFile('C:\WINDOWS\system32\pmnNeCTL.dll','');
DelBHO('{1DEB1F3C-0961-4E79-9C39-C606D043408C}');
QuarantineFile('C:\WINDOWS\system32\iifecdaw.dll','');
QuarantineFile('C:\WINDOWS\kvxqmtre.dll','');
QuarantineFile('C:\WINDOWS\evgratsm.dll','');
DeleteFile('C:\WINDOWS\evgratsm.dll');
DeleteFile('C:\WINDOWS\kvxqmtre.dll');
DeleteFile('C:\WINDOWS\system32\iifecdaw.dll');
DeleteFile('C:\WINDOWS\system32\pmnNeCTL.dll');
DeleteFile('C:\WINDOWS\kgxmotapktx.dll');
DeleteFile('C:\WINDOWS\system32\anfxjied.dll');
DeleteFile('C:\WINDOWS\system32\bylirusn.dll');
DeleteFile('C:\WINDOWS\system32\dqdwhhmc.dll');
DeleteFile('C:\WINDOWS\system32\gcnbdtud.dll');
DeleteFile('C:\WINDOWS\system32\mfjeewpn.dll');
DeleteFile('C:\WINDOWS\system32\ngysjbts.dll');
DeleteFile('C:\DOCUME~1\Homer\LOCALS~1\Temp\Setup_ver1.1400.0.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
-
По первому карантину
dowqfntm.dll - [b]not-a-virus:AdWare.Win32.Virtumonde.abm[/b], evgratsm.dll - [b]Trojan.Win32.Vapsup.ixq[/b], pmnNeCTL.dll - [b]Trojan.Win32.Monderb.aas[/b], iifecdaw.dll - [b]not-a-virus:AdWare.Win32.Virtumonde.abr[/b]
-
Вложений: 3
-
пофиксите ...
[code]
O20 - Winlogon Notify: pmnNeCTL - C:\WINDOWS\
[/code]
больше ничего плохого ....
-
-
Итог лечения
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\evgratsm.dll - [B]Trojan.Win32.Vapsup.ixq[/B] (DrWEB: Trojan.Popuper.7165)[*] c:\\windows\\kgxmotapktx.dll - [B]Trojan.Win32.Vapsup.jbi[/B] (DrWEB: Trojan.Popuper.7165)[*] c:\\windows\\system32\\dowqfntm.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.abmm[/B] (DrWEB: Trojan.Virtumod.365)[*] c:\\windows\\system32\\iifecdaw.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.abrq[/B] (DrWEB: Trojan.Virtumod.based.18)[*] c:\\windows\\system32\\pmnnectl.dll - [B]Trojan.Win32.Monderb.aas[/B] (DrWEB: Trojan.Virtumod.460)[/LIST][/LIST]
Page generated in 0.00754 seconds with 10 queries