Лошадка Virtumonde

Printable View

15.11.2008, 04:26
Twistah

Лошадка Virtumonde

Доброго времени суток.
На домашней машине антивирь ругается на "C:\WINDOWS\system32\fccbXqOf.dll - a variant of Win32/Adware.Virtumonde application - cleaned by deleting (after the next restart) - quarantined", однако после рестарта всё повторяется (пробовал сканить VRT от касперского- находит троян, обещает удалить после перезагрузки, однако не удаляет). Вручную удалить не получается.

Логи прилагаю.
15.11.2008, 06:45
NickGolovko

AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\jkkJDSIY.dll','');
QuarantineFile('C:\WINDOWS\system32\fccbXqOf.dll','');
DeleteFile('C:\WINDOWS\system32\fccbXqOf.dll');
DeleteFile('C:\WINDOWS\system32\jkkJDSIY.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки пришлите полученный карантин в соответствии с правилами и повторите логи.
15.11.2008, 12:34
Twistah

Выполнил. Высылаю логи и карантин.
15.11.2008, 16:06
NickGolovko

Пока мы ждем результатов анализа из лаборатории, проведите новое сканирование с помощью Kaspersky Virus Removal Tool и представьте отчет об обнаруженных объектах. Virtumonde обычно имеет множество неактивных компонентов, которые обнаруживаются только при сканировании дисков.
15.11.2008, 19:27
Twistah

Логи KVRT прилагаю в запакованном архиве.
Правильные файлы прислал?
15.11.2008, 19:38
Гриша

Повторите логи AVZ...
15.11.2008, 19:46
NickGolovko

Нет, неправильные :) Вы прислали сами файлы отчетов, а надо сохранить их как текстовые из окна отчетов утилиты и уже эти экспорты выложить сюда. :)

Ваша версия Removal Tool не старше 10 часов утра этого дня? Если старше, мне придется попросить вас перезакачать ее и повторить сканирование, потому как некоторые присланные вами файлы на момент отправки не определялись продуктом.
15.11.2008, 20:02
Twistah

Утилита свежескачанная (setup_7.0.0.242_15.11.2008_16-05).

Новый лог из KVRT прилагаю.
16.11.2008, 07:28
NickGolovko

Итак:

[CODE]begin
SearchRootkit(true,true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\eynupkjn.dll');
DeleteFile('C:\WINDOWS\system32\cjghgilj.dll');
DeleteFileMask('C:\Documents and Settings\Scope\Local Settings\Temporary Internet Files','*.*',true);
BC_ImportDeletedList;
ExecuteSysClean;
DelBHO('{9A50B2AF-3B2B-47DD-AECD-5D80A886F504}');
DelBHO('{3EB30E4B-918F-4EC6-AA69-E5A77A983B2E}');
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки повторите логи AVZ.

Система перезагрузится.
16.11.2008, 12:50
Twistah

Вложений: 2

Сделал.. логи:
16.11.2008, 12:58
V_Bond

недостающий лог сделайте ....
16.11.2008, 13:13
Twistah

Вложений: 1

Просили ведь только avz логи О.о

Сделал:
16.11.2008, 13:17
Гриша

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL]

[CODE]O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O20 - Winlogon Notify: fccbXqOf - fccbXqOf.dll (file missing)[/CODE]

FlashGet удалите, он качает зловредов, в логах чисто...
16.11.2008, 14:04
Twistah

Сделано, флэшгет удалён.
Спасибо ;)