Помогите пожалуйста с удалением трояна Virtumod из системы. Ни DRWeb CureIt, ни NOD32 не лечат/не удаляют его. Логи прикрепляю. Очень надеюсь на вашу помощь!
Printable View
Помогите пожалуйста с удалением трояна Virtumod из системы. Ни DRWeb CureIt, ни NOD32 не лечат/не удаляют его. Логи прикрепляю. Очень надеюсь на вашу помощь!
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ddcca.dll','');
QuarantineFile('C:\WINDOWS\system32\awtss.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnklli.dll','');
QuarantineFile('C:\WINDOWS\system32\vyjbnujj.dll','');
QuarantineFile('C:\WINDOWS\system32\ssqrs.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Пришлите содержимое карантина AVZ согласно приложению 3 правил.
Выслал файлы из карантина
Это not-a-virus:AdWare.Win32.Virtumonde.bq - по Касперскому.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\nnnklli.dll');
DeleteFile('C:\WINDOWS\system32\sbgipmrl.dll');
DeleteFile('C:\WINDOWS\system32\vyjbnujj.dll');
DeleteFile('C:\WINDOWS\system32\awtss.dll');
DeleteFile('C:\WINDOWS\system32\ssqrs.dll');
DeleteFile('C:\WINDOWS\system32\ddcca.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится. Сделайте новые логи п.10 и 12 правил.
Логи
Пофиксите в HijackThis:
[code]
O2 - BHO: (no name) - {2F772DA0-FEEF-4D6B-9360-C29F5883460A} - C:\WINDOWS\system32\ddcca.dll (file missing)
O2 - BHO: (no name) - {38C49653-B36F-495E-9CFD-82CED4E888B0} - C:\WINDOWS\system32\ssqrs.dll (file missing)
O2 - BHO: (no name) - {93CEEAC9-CB5A-4AF0-8840-3631811A1922} - C:\WINDOWS\system32\nnnklli.dll (file missing)
O2 - BHO: (no name) - {947FDDAF-E31E-4D7D-A9FC-9AC0DF7682B8} - C:\WINDOWS\system32\awtss.dll (file missing)
O2 - BHO: (no name) - {9E3234E4-D354-491D-8BF1-712DE39DE801} - C:\WINDOWS\system32\geebx.dll (file missing)
O2 - BHO: (no name) - {D38439EC-4A7F-42b4-90C2-D810D7778FDD} - C:\WINDOWS\system32\vyjbnujj.dll (file missing)
O20 - Winlogon Notify: awtss - C:\WINDOWS\
O20 - Winlogon Notify: geebx - C:\WINDOWS\system32\geebx.dll (file missing)
O20 - Winlogon Notify: nnnklli - nnnklli.dll (file missing)
O20 - Winlogon Notify: ssqrs - C:\WINDOWS\
[/code]
Вуаля! :)
Обновите ваш AntiVir и просканируйте весь компьютер на всякий случай.
Большое спасибо за Вашу оперативную помощь! не подскажете что нужно сделать, чтобы устранить возможность проникновения этого трояна в систему в дальнейшем? АнтиВир обновил.
[QUOTE]что нужно сделать, чтобы устранить возможность проникновения...[/QUOTE]
Панацеи, как известо, не существует. Рекомендации обычные:
а) Обновляйте антивирус регулярно (почаще).
б) По возможности устанавливайте критические обновления Windows.
в) Пересмотрите список системных служб - возможно, некоторые стоило бы отключить ([url]http://virusinfo.info/showthread.php?t=2768[/url]).
г) Избегайте посещения порно и варезных сайтов.
д) Лично мое мнение: ваш антивирус - не лучший выбор.
Всего доброго! Заходите еще ;)
А какой антивирус вы бы посоветовали из freeware, если вообще такого типа существуют заслуживающие внимания.
К сожалению неприятности не пропали... Как Вы и сказали обновил АнтиВир, поставил на полную проверку, теперь каждый раз во время проверки в середине где-то вылетает синий экран смерти BSOD, пишет вот что:
STOP: 0x00000005
0x6FD9BB88
0x00000002
0x00000001
0x8054B01C
Есть подозрения что это вирус... на диске D:\
К сожалению неприятности не пропали... Как Вы и сказали обновил АнтиВир, поставил на полную проверку, теперь каждый раз во время проверки в середине где-то вылетает синий экран смерти BSOD, пишет вот что:
STOP: 0x00000005
0x6FD9BB88
0x00000002
0x00000001
0x8054B01C
Есть подозрения что это вирус... на диске D:\
Можно было оставаться в предыдущей теме. Попробуйте переуставовить AntiVir. Есть вариант, что он конфликтует с Outpost. Попробуйте провести полную проверку с выключенным Outpost. Если не поможет то обращайтесь к разработчику AntiVir. По поводу вируса на диске D. В логах ни какой подозрительной активности с диска D не замечнно. Если Вы подозреваете какой-то опрелеленный файл, Вы можете его проверить например [URL="http://virusscan.jotti.org/"]здесь[/URL]
Адрес прокси сервера в IE Вы сами прописывали?
Да, сам. Спасибо за помощь, попробую.
Можно сделать онлайн проверку компьютера Касперским или Доктором Вебом. Иногда дает результаты.
Это где такой сервис предоставляется и сколько трафика сжирает?
DrWeb - CureIT! - 5.5 МБ:
[url]ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]33[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\nnnklli.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.bq[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]