Trojan.Virtumod

Грузится как плагин в IE7 и периодические выдает рекламу, жрет трафик.
Касперский и Панда не видит.
Dr.Web видит но удалить не может:

[CODE]
C:\Windows\System32\
vtutt.dll
fccayay.dll
[/CODE]

Выполните скрипт в AVZ:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\PROGRA~1\FLASHS~1\save.htm','');
QuarantineFile('C:\WINDOWS\system32\ghigjjat.dll','');
QuarantineFile('C:\WINDOWS\system32\pmkhg.dll','');
QuarantineFile('C:\WINDOWS\system32\vtutt.dll','');
QuarantineFile('C:\WINDOWS\system32\rrgweerk.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM32\fccayay.dll','');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите содержимое карантина согласно приложению 3 правил.

Выполнил и загрузил.
Файл сохранён как 070428_175101_virus_4633514505c81.zip
Размер файла 415839
MD5 0686656cbe97ac8c07c543eae3b133e5

Попробуйте вручную найти файлы (см. приложение 2 правил):
C:\WINDOWS\system32\ghigjjat.dll
C:\WINDOWS\system32\pmkhg.dll
Если найдутся - пришлите.

[quote=Bratez;106716]Попробуйте вручную найти файлы (см. приложение 2 правил):
C:\WINDOWS\system32\ghigjjat.dll
C:\WINDOWS\system32\pmkhg.dll
Если найдутся - пришлите.[/quote]
[SIZE=2][COLOR=#ff0000]Ошибка карантина файла "C:\WINDOWS\system32\ghigjjat.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\system32\pmkhg.dll", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
[/COLOR][/SIZE]

Ладно, бьем их всех, тут сомнений нет, просто хотелось заполучить образцы - вдруг новые модификации... Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\SYSTEM32\fccayay.dll');
DeleteFile('C:\WINDOWS\system32\rrgweerk.dll');
DeleteFile('C:\WINDOWS\system32\vtutt.dll');
DeleteFile('C:\WINDOWS\system32\pmkhg.dll');
DeleteFile('C:\WINDOWS\system32\ghigjjat.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\rrgweerk.dll",realset
[/code]
и сделайте новые логи.

Вышеуказанную строку в HiJackThis не нашел :(

Всё ОК. Пофиксите теперь это, и дело сделано:
[code]
O2 - BHO: (no name) - {996A399D-BC0D-4885-BD51-A5A3F04C67E7} - C:\WINDOWS\system32\vtutt.dll (file missing)
O2 - BHO: (no name) - {C7F39662-AC3B-4B80-8FC0-4034C01E73C1} - C:\WINDOWS\SYSTEM32\fccayay.dll (file missing)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\ghigjjat.dll (file missing)
O20 - Winlogon Notify: fccayay - fccayay.dll (file missing)
O20 - Winlogon Notify: pmkhg - C:\WINDOWS\
O20 - Winlogon Notify: vtutt - C:\WINDOWS\[/code]

Профессионально, а главное оперативно, огромное человеческое спасибо!

В дальнейшем, каким антивирусом посоветуете пользоваться в связке с SyGate Firewall?

Посмотрите эту картинку (статистика по Virustotal):
[url]http://virusinfo.info/attachment.php?attachmentid=9327&d=1177758750[/url]
Легко увидеть, кто есть who :)
P.S. Лично я предпочитаю KIS.

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\fccayay.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.jc[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\rrgweerk.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.hb[/B] (DrWEB: Trojan.Virtumod)[*] c:\\windows\\system32\\vtutt.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.iz[/B] (DrWEB: Trojan.Virtumod)[/LIST][/LIST]