Junior Member
Вес репутации
62
NAV постоянно сообщает о наличии Trojan.Vundo, но не лечит
Здравствуйте!
Я обращался к вам за помощью неделю назад - лечили домашний компьютер http://www.virusinfo.info/showthread.php?t=10183 . Теперь пришла очередь рабочего ноута.
За прошедшую неделю внешние признаки заражения изменились. Раньше в ИЭ постоянно открывались "левые" окна от Error Safe, а НАВ ничего не находил. Зато теперь он постоянно сообщает о наличии Trojan.Vundo, но не лечит. "Левые" окна перестали открываться.
Выполнил все согласно правил. CureIt ничего не нашел. Логи прилагаю.
С уважением.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\hgggdcb.dll','');
QuarantineFile('C:\WINDOWS\system32\wvjqnbxp.dll','');
QuarantineFile('C:\WINDOWS\system32\pggrflde.dll','');
DeleteFile('C:\WINDOWS\system32\pggrflde.dll');
DeleteFile('C:\WINDOWS\system32\hgggdcb.dll');
DeleteFile('C:\WINDOWS\system32\wvjqnbxp.dll');
BC_ImportAll;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
Карантин прислать по правилам,приложение 3
пофиксить в HijackThis
Код:
O2 - BHO: (no name) - {51A39D43-CB2D-4735-A82F-ECCBA6ED1319} - C:\WINDOWS\system32\hgggdcb.dll (file missing)
O2 - BHO: (no name) - {CD3447D4-CA39-4377-8084-30E86331D74C} - C:\WINDOWS\system32\wvjqnbxp.dll (file missing)
O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\pggrflde.dll",realset
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O20 - Winlogon Notify: hgggdcb - hgggdcb.dll (file missing)
и прикрипить к следующему сообщению лог boot_clr.log, из папки AVZ
Junior Member
Вес репутации
62
Скрипт выполнил.
Карантин закачал:
Файл сохранён как 070613_133731_virus_466fbadbb3b0d.zip
Размер файла 124230
MD5 3820d3832229beda8c4252c1526dc7b3
Запрошенный лог прикрепил
Вложения
Junior Member
Вес репутации
62
Пофиксил в HijackThis указанные строки, кроме этой:
Сообщение от
Muzzle
Код:
O4 - HKLM\..\Run: [Genuine] rundll32.exe "C:\WINDOWS\system32\pggrflde.dll",realset
Этой строки в логе не было.
Жду результатов сданых анализов
У вас был not-a-virus:AdWare.Win32.Virtumonde.kg (по Касперскому).
По всей видимости, успешно удален.
Сделайте для контроля новые логи п.10-13 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
62
Контрольные логи сделал, прикрепил.
Надеюсь, теперь все в порядке
Вложения
I am not young enough to know everything...
Junior Member
Вес репутации
62
Спасибо! Повторю - вы делаете реально нужное дело
Собрал и закачал архив для пополнения базы безопасных файлов:
http://www.virusinfo.info/showthread.php?t=3519&page=16
Файл сохранён как 070613_160315_virusinfo_files_TOSHIBA-USER_466fdd0326911.zip
Размер файла 11467475
MD5 ee6800314a5e320e52d3671fa9f884e0
Еще раз спасибо
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 7 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\pggrflde.dll - not-a-virus:AdWare.Win32.Virtumonde.kg (DrWEB: Trojan.Virtumod)