Virtumonde.FP

Printable View

23.08.2008, 19:41
Lokosleo

Вложений: 3

Virtumonde.FP

NOD32 обнаружил в объекте D:\Windows\System32\ljJCrpQh.dll.
Не может справиться.Помогите,Пожалуйста!
23.08.2008, 20:22
Aleksandra

Lavasoft Ad-Aware и Spyware Terminator - деинсталлируйте.

1. Отключите восстановление системы и антивирус.
2. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ:[/URL]
[code]begin
ClearHostsFile;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D5722C2C-9957-4173-8C56-299D1F48B195}');
DelBHO('{2756BAD7-2F9F-47ef-AE6D-8D39CCEB396F}');
DelBHO('{0C5C4DB4-6C62-49ED-8343-62B9AE7ADF6A}');
QuarantineFile('D:\WINDOWS\vtqnxfko.dll','');
QuarantineFile('D:\WINDOWS\tsxngabr.dll','');
QuarantineFile('D:\WINDOWS\system32\msvbcr40.dll','');
QuarantineFile('D:\WINDOWS\system32\cbXOGYOE.dll','');
QuarantineFile('D:\WINDOWS\system32\ljJCrpQh.dll','');
DeleteFile('D:\WINDOWS\system32\cbXOGYOE.dll');
DeleteFile('D:\WINDOWS\system32\msvbcr40.dll');
DeleteFile('D:\WINDOWS\system32\ljJCrpQh.dll');
DeleteFile('D:\WINDOWS\tsxngabr.dll');
DeleteFile('D:\WINDOWS\vtqnxfko.dll');
DelWinlogonNotifyByKeyName('cbXOGYOE');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно [B]приложению 3[/B] [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Загружать по ссылке: [URL]http://virusinfo.info/upload_virus.php?tid=28781[/URL]

3. Повторите логи.
24.08.2008, 00:04
Lokosleo

Повторные логи

Скрипт сделал свое дело!
Я немного подправил систему и высылаю повторные логи.
Человеческое спасибо за вашу работу.А то эти "непризнаные" гении не понимают,что рубят, сук на котором сидят.Они сами себя уничтожат,т.к. грязный и продажный интернет станет никому не нужен.Еще раз большое спасибо!
24.08.2008, 00:07
Синауридзе Александр

Логи нет желания повторить?:)
24.08.2008, 00:45
Lokosleo

Вложений: 3

Повторные логи

Повторные логи
24.08.2008, 00:54
Rene-gad

Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.

-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O2 - BHO: (no name) - {0C5C4DB4-6C62-49ED-8343-62B9AE7ADF6A} - D:\WINDOWS\system32\cbXOGYOE.dll (file missing)
O2 - BHO: AbsoluteTransfer module - {18CB1A7B-94CD-4582-8022-ADA16851E44B} - (no file)
O2 - BHO: (no name) - {B68D3446-52DF-4974-9AC1-310A57E135D2} - D:\WINDOWS\system32\ljJCrpQh.dll (file missing)
O20 - Winlogon Notify: cbXOGYOE - D:\WINDOWS\
[/CODE]

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Bonjour Service');
DelBHO('{EF79EAC5-3452-4E02-B8BD-BA4C89F1AC7A}');
DelBHO('{DFB852A3-47F8-48C4-A200-58CAB36FD2A2}');
DelBHO('{18CB1A7B-94CD-4582-8022-ADA16851E44B}');
DelBHO('{0C5C4DB4-6C62-49ED-8343-62B9AE7ADF6A}');
DelBHO('{B68D3446-52DF-4974-9AC1-310A57E135D2}');
QuarantineFile('D:\WINDOWS\system32\cbXOGYOE.dll','');
QuarantineFile('D:\WINDOWS\system32\ljJCrpQh.dll','');
QuarantineFile('D:\RECYCLER\S-1-5-21-1343024091-2000478354-725345543-1003\Dd161\TJEnder.exe.BAK','');
DeleteFile('D:\RECYCLER\S-1-5-21-1343024091-2000478354-725345543-1003\Dd161\TJEnder.exe.BAK');
DeleteFile('d:\program files\bonjour\mdnsresponder.exe');
DeleteFile('D:\WINDOWS\system32\ljJCrpQh.dll');
DeleteFile('D:\WINDOWS\system32\cbXOGYOE.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи по правилам.
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
24.08.2008, 12:44
Lokosleo

Вложений: 3

Следующие логи

Вроде бы сделал все по правилам.
Посмотрите, пожалуйста, что получилось?
24.08.2008, 14:22
Rene-gad

В логах чисто.
Все т.н. [I]защитные программы[/I] кроме НОДа можете выкинуть. Пользуйтесь альтернативными проводниками и почтовыми программами - будет больше толку ;) Тут все написано: [url]http://security-advisory.virusinfo.info/[/url]
22.02.2009, 07:24
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\cbxogyoe.dll - [B]Trojan.Win32.Monderb.gvk[/B] (DrWEB: Trojan.Virtumod.based.18)[*] d:\\windows\\system32\\msvbcr40.dll - [B]Trojan-Downloader.Win32.Winlagons.aih[/B] (DrWEB: Trojan.BhoBot.58)[/LIST][/LIST]