Снова Win32/Adware.Virtumonde

[micramacra]

Здравствуйте! После попытки (неудавшейся) установить скачанный из сети Adobe Flash CS, антивирусник(NOD 32) выдал следующее:
"файл:\c:\windows\system32\efcccawv.dllВирус:W in32/Adware.Virtumonde.FP приложение."
И подписал комментарий:
"Файл может быть удалён.Рекомендуем сделать резервную копию. Попытка открыть файл приложения: C:\WINDOWS\system32\lsass.exe."

При нажатии кнопки "Удалить" стал зациклено выдавать:
"файл:\c:\windows\system32\qoMcdEXP.dllВирус:W in32/Adware.Virtumonde приложение." "Файл может быть удалён.Рекомендуем сделать резервную копию. Попытка открыть файл приложения: C:\WINDOWS\system32\winlogon.exe.";
"файл:\c:\windows\system32\efcccawv.dllВирус:W in32/Adware.Virtumonde.FP приложение.""Файл может быть удалён.Рекомендуем сделать резервную копию. Попытка открыть файл приложения: C:\WINDOWS\system32\lsass.exe."

Никакие попытки вычистить Это не удались; сканирование в безопасном режиме с помощью CureIt! не дало результата (он ничего не нашел);после сканирования с помощью AVZ, НОД32 выдал сообщение:
"попытка создать файл в приложении: C:\Documents and Settings\Администратор\Мои документы\SAVED\Новая папка\avz4\avz4\avz.exe. Файл перемещен в карантин.Можно закрыть это окно "

ПОМОГИТЕ ПОЖАЛУЙСТА!!!

[Гриша]

Пофиксить

Код:

O2 - BHO: (no name) - {22AE4869-4E8A-457B-9F8F-CC340A5A450B} - C:\WINDOWS\system32\qoMcdEXP.dll
O2 - BHO: (no name) - {334093FF-C628-4F88-8A26-3ABCF45499BD} - C:\WINDOWS\system32\efcccawv.dll
O2 - BHO: WRL Advisor - {C6CAF476-542E-4FEF-9E81-1684A84F7344} - C:\WINDOWS\vortsgbqsrk.dll
O2 - BHO: (no name) - {FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86} - C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL (file missing)
O4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exe
O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)
O20 - Winlogon Notify: qoMcdEXP - C:\WINDOWS\SYSTEM32\qoMcdEXP.dll
O21 - SSODL: lfstbwvd - {F6DB2A35-5FEA-46A0-838D-4C5CAB74D664} - C:\WINDOWS\lfstbwvd.dll
O21 - SSODL: qmafxprs - {D46C62DA-FCE4-4307-BE77-739CD5055024} - C:\WINDOWS\qmafxprs.dll (file missing)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 DelBHO('{C6CAF476-542E-4FEF-9E81-1684A84F7344}');
 QuarantineFile('C:\WINDOWS\vortsgbqsrk.dll','');
 DelBHO('{22AE4869-4E8A-457B-9F8F-CC340A5A450B}');
 DelBHO('{0DB882DD-1FBF-4774-A269-1C5F1B610B8C}');
 QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
 QuarantineFile('C:\WINDOWS\qmafxprs.dll','');
 QuarantineFile('C:\WINDOWS\system32\qoMcdEXP.dll','');
 QuarantineFile('C:\WINDOWS\system32\efcccawv.dll','');
 QuarantineFile('C:\WINDOWS\system32\bxlbgphu.dll','');
 QuarantineFile('C:\WINDOWS\lfstbwvd.dll','');
 DeleteFile('C:\WINDOWS\lfstbwvd.dll');
 DeleteFile('C:\WINDOWS\system32\bxlbgphu.dll');
 DeleteFile('C:\WINDOWS\system32\efcccawv.dll');
 DeleteFile('C:\WINDOWS\system32\qoMcdEXP.dll');
 DeleteFile('C:\WINDOWS\qmafxprs.dll');
 DeleteFile('C:\WINDOWS\system32\amvo.exe');
 DeleteFile('qoMcdEXP.dll');
 DeleteFile('C:\WINDOWS\vortsgbqsrk.dll');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
BC_ImportALL;  
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Пришлите карантин по правилам и повторите логи...

[micramacra]

лог(2)

[Гриша]

Обновите базы AVZ!

Пофиксить

Код:

O2 - BHO: (no name) - {22AE4869-4E8A-457B-9F8F-CC340A5A450B} - C:\WINDOWS\system32\qoMcdEXP.dll (file missing)
O2 - BHO: WhenUSearch Helper - {BA2325ED-F9EB-4830-8FCE-0BC35B16969B} - C:\Program Files\DAEMON Tools SearchBar\search.dll (file missing)
O2 - BHO: (no name) - {F86AE08B-EE50-4231-831D-A4876EB3F9EC} - C:\WINDOWS\system32\efcccawv.dll (file missing)
O4 - HKLM\..\Run: [0b96d48b] rundll32.exe "C:\WINDOWS\system32\xlhktpdv.dll",b
O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)
O20 - Winlogon Notify: qoMcdEXP - C:\WINDOWS\

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DelBHO('{F86AE08B-EE50-4231-831D-A4876EB3F9EC}');
 DelBHO('{22AE4869-4E8A-457B-9F8F-CC340A5A450B}');
 DeleteFile('C:\WINDOWS\system32\xlhktpdv.dll');
 DeleteFile('C:\WINDOWS\system32\qoMcdEXP.dll');
 DeleteFile('C:\WINDOWS\system32\efcccawv.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите логи...

[micramacra]

а еще в результате работы avz и Hijakthis отключился NOD32.. не подскажете как его вернуть?

[micramacra]

почему-то не прицепились

[Rene-gad]

а еще в результате работы avz и Hijakthis отключился NOD32.. не подскажете как его вернуть?

Зачем Вам НОД, если Симантек стоит?

[micramacra]

симантек вроде не стоит .. а тот кусочек ,который стоит - это не антивирус..

[Rene-gad]

тот кусочек ,который стоит - это не антивирус..

Тогда переустановите НОД.
Удалите службу Bonjour - в Чаво есть инструкция.

[micramacra]

хмм.. прошу прощения за несообразительность, но разобраться где находится Чаво - не смог.... и что это такое - Bonjour?
спасибо за понимание!

[Rene-gad]

но разобраться где находится Чаво - не смог....

http://virusinfo.info/forumdisplay.php?f=70

и что это такое - Bonjour?

там же и ищите ответ

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 22
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\lfstbwvd.dll - Trojan.Win32.Vapsup.nsg
  2. c:\\windows\\system32\\bxlbgphu.dll - Trojan.Win32.Agent.ahfu (DrWEB: Trojan.Packed.670)