Много всего

Printable View

15.04.2009, 01:14
Darkey

Вложений: 3

Много всего

Здравствуйте проблемы заключаются в следующем.
При загрузке винды в диспечере задачь появляется несколько приложений Rundll32.exe, удаляю ветку из реестра что бы он автоматом не запускался, не помогает. При этом Rundl32 обращается к левым dll библиотекам, которые тоже по видимому генерируются автоматом.

В FireFox Все время вылезают банеры с порнухой, nod32 вирус не видит.

В nod32 в карантине вечно появляются файлы и вечно генерируются.
C:\WINDOWS\system32\fLTDUvw.ini | Причина Win32/Adware.Virtumonde.NEO приложение.

C:\WINDOWS\system32\fLTDUvw.ini2 | Причина Win32/Adware.Virtumonde.NEO приложение.

C:\WINDOWS\system32\vttyvmwb.tmp | Причина Win32/Adware.Virtumonde.NEO приложение.

п.с может ли вирус в биос материнки попасть?
15.04.2009, 08:30
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\byXOiGYQ.dll','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ALSysIO.sys','');
QuarantineFile('C:\WINDOWS\system32\wvUNDTLf.dll','');
QuarantineFile('C:\WINDOWS\system32\wiohrgtd.dll','');
QuarantineFile('C:\WINDOWS\system32\kiidbhsm.dll','');
QuarantineFile('C:\WINDOWS\system32\gavrxe.dll','');
DeleteFile('C:\WINDOWS\system32\gavrxe.dll');
DeleteFile('C:\WINDOWS\system32\kiidbhsm.dll');
DeleteFile('C:\WINDOWS\system32\wiohrgtd.dll');
DeleteFile('C:\WINDOWS\system32\wvUNDTLf.dll');
DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\ALSysIO.sys');
DeleteFile('C:\WINDOWS\system32\byXOiGYQ.dll');
BC_ImportALL;
ExecuteSysClean;
DelBHO('{a8b4668c-af66-4fc4-a699-ba4c3f8bf5d6}');
DelBHO('{21C63899-6532-40D7-8379-7ED788B98D28}');
DelBHO('{00B3B518-18FA-4B89-B25B-6F4F6301CC89}');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=43853[/url]).
Сделайте новые логи.
15.04.2009, 14:41
Darkey

У меня в карантине пусто было, поэтому запустил скрипт сбора неопознанных и подозрительных файлов.
p.s Rundll32.exe все равно запускает какие то левые библиотеки.
К вам пришел карантин?
15.04.2009, 14:44
Bratez

Карантин пришел. Давайте новые логи.
15.04.2009, 17:09
Darkey

Вложений: 3

Вот новые логи
16.04.2009, 03:13
Bratez

Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {1D859470-0007-4B43-8B7C-7E134C9F7812} - C:\WINDOWS\system32\wvUNDTLf.dll (file missing)
O2 - BHO: {180e9b63-3e37-7fb8-6154-b85e1899d4c4} - {4c4d9981-e58b-4516-8bf7-73e336b9e081} - C:\WINDOWS\system32\shqsnx.dll
O4 - HKLM\..\Run: [a88fd9fa] rundll32.exe "C:\WINDOWS\system32\bjqcvivw.dll",b
O20 - Winlogon Notify: byXOiGYQ - byXOiGYQ.dll (file missing)
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\wvUNDTLf.dll','');
QuarantineFile('C:\WINDOWS\system32\shqsnx.dll','');
QuarantineFile('C:\WINDOWS\system32\bjqcvivw.dll','');
DeleteFile('C:\WINDOWS\system32\bjqcvivw.dll');
DeleteFile('C:\WINDOWS\system32\shqsnx.dll');
DeleteFile('C:\WINDOWS\system32\wvUNDTLf.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
17.04.2009, 16:01
Darkey

извиняюсь за вопрос, но как профиксить HijackThis?
17.04.2009, 16:05
Bratez

[URL="http://virusinfo.info/showthread.php?t=4491"][COLOR=#0532aa]Что значит "пофиксить с помощью HijackThis"?[/COLOR][/URL]
18.04.2009, 11:13
Darkey

Вложений: 2

Карантин залил. Вот логи.
18.04.2009, 15:04
Bratez

С [I]Virtumonde[/I] вроде бы покончено... Еще один момент...
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
QuarantineFile('c:\documents and settings\Администратор\Рабочий стол\utorrent .exe','');
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
19.04.2009, 14:28
Darkey

[QUOTE=Bratez;389291]С [I]Virtumonde[/I] вроде бы покончено... Еще один момент...
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
QuarantineFile('c:\documents and settings\Администратор\Рабочий стол\utorrent .exe','');
end.[/code]Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.[/QUOTE]
Мне этот фаил нужен, он давно определяется как вирус, но это не вирус =)
19.04.2009, 16:16
Bratez

Дело хозяйское, но все ж пришлите, интересно...
В остальном чисто в логах.
19.04.2009, 21:52
Darkey

Выполнил последний скрипт, комп НЕ перезагрузился. Карантин выслал!
Пока все замечательно, комп даже лучше стал работать, очень вам благодарен за вашу работу, и быстрое реагирование.
p.s Ошибка "Системная библиотека user32.dll перемещена в памяти." это случайно не вирус?
20.04.2009, 03:43
pig

Это, IMHO, у вас заплатки на систему не все стоят.
21.04.2009, 03:43
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]292[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\bjqcvivw.dll - [B]Trojan.Win32.Monder.bzyp[/B] ( BitDefender: Gen:Trojan.Heur.Vundo.4019E6C6C6 )[*] c:\windows\system32\shqsnx.dll - [B]not-a-virus:AdWare.Win32.SuperJuan.txc[/B] ( DrWEB: Trojan.Juan.88, BitDefender: Gen:Trojan.Heur.Vundo.6039C6E6E6 )[/LIST][/LIST]