Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 32.

Заражён awtsqrr.dll (Adware.Virtumonde) (заявка № 10524)

  1. #1
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39

    Exclamation Заражён awtsqrr.dll (Adware.Virtumonde)

    У меня стоит нод32, и в какой то один из прекрасных дней, начал он выдавать точто заражён awtsqrr.dll в папке c\windows\system32, говорит что это adware.Virtumonde, пробывал удалять докторомВЕб - непомогает, и AVZ тоже (( , нод32 обещает всё после перезагрузки но - не удаляет. Похоже, как йа узнал из вашего форума, это йа подцыпил в internet explorere когда вылетало окошка с winantivirus'ом - так и есть... йа даже его установил ((( но потом удалил, судя по всему мне нужно выполнить скрипт в авз и чтото пофиксить в хиджэйвис.
    Что делать
    Пожайлуйста помогите!)) а то уже йа и ручками пробывал, закрыть все процессы даже системные и эксплорер, и за то время пока что тикал таймер перезагрузки йа в фаре пробыл удалить(( и всё равно не удалось)

    ещё скажу вам что эта библеотека подгружаецо в процессах (winlogon и в explorer) так что вот
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    1.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\System32\awtsqrr.dll','');
     QuarantineFile('C:\WINDOWS\System32\XPize_Logon.exe','');
     QuarantineFile('C:\WINDOWS\System32\userinit.exe','');
     QuarantineFile('C:\WINDOWS\system32\ddccc.dll','');
     QuarantineFile('C:\PC-Checkup\PCCheckUp.exe','');
     QuarantineFile('C:\WINDOWS\System32\cscui.dll','');
     QuarantineFile('C:\WINDOWS\System32\aswTdi.sys','');
     QuarantineFile('C:\WINDOWS\System32\aswMon2.sys','');
     QuarantineFile('C:\WINDOWS\System32\Aavmker4.sys','');
     QuarantineFile('C:\WINDOWS\system32\comdlg32.dll','');
     QuarantineFile('C:\WINDOWS\Explorer.EXE','');
     QuarantineFile('C:\WINDOWS\system32\awtsqrr.dll','');
     QuarantineFile('C:\WINDOWS\system32\adygouve.dll','');
    QuarantineFile('C:\WINDOWS\system32\bfsgcttx.dll','');
    QuarantineFile('C:\WINDOWS\system32\cpmjyunc.dll','');
    QuarantineFile('C:\WINDOWS\system32\fvlkyjhc.dll','');
    QuarantineFile('C:\WINDOWS\system32\ghseradj.dll','');
    QuarantineFile('C:\WINDOWS\system32\imxkfhul.dll','');
    QuarantineFile('C:\WINDOWS\system32\j7281835.dll','');
    QuarantineFile('C:\WINDOWS\system32\paqqhguh.dll','');
    QuarantineFile('C:\WINDOWS\system32\tpbcxbup.dll','');
    QuarantineFile('C:\WINDOWS\system32\ujfiebsk.exe','');
    QuarantineFile('C:\WINDOWS\system32\uqsvbuit.dll','');
    QuarantineFile('C:\WINDOWS\system32\xusjwgom.dll','');
    BC_ImportQuarantineList;
    BC_LogFile(GetAVZDirectory + 'boot_copy.log');
    BC_Activate;
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=10524.......

    boot_copy.log- из папки AVZ прикрепить к вашему следующему ответу

    P.S. У вас был аваст в системе ?
    Последний раз редактировалось drongo; 20.06.2007 в 21:01.

  4. #3
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39

    Спасибо что ответили!))

    P.S. У вас был аваст в системе ?
    ммм.. Да был, а что?

    сделал архив virus.zip
    прикрепил boot_copy.log...
    ещё отмечу у меня стоит программка TaskSwitchXP которая меняет Загрузочный экран (boot) , окно приветствия, и тему с иконками (может быть это она нанесла вред winlogon.exe?)

    карантин пришёл???
    Вложения Вложения
    Последний раз редактировалось GuFFi.fbr; 20.06.2007 в 21:25. Причина: сомнения в приходе карантина

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    не пришёл , ещё раз загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=10524
    ну сомнения у меня были, или дрова от аваста остались или зверь под него косит.
    оказалось третье: дров нет, осталась лишь дымка , следы не нужные в системе
    вы пришлите, а потом будем смотреть что попало в карантин. Можно с другого компьютера , если с этого не выходит. Может с другим браузером получиться
    Последний раз редактировалось drongo; 20.06.2007 в 22:02.

  6. #5
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39

    Карантин отправлен!

    смерть вирусам и тем кто их делает!!!

    Карантин отправлен - смотрите)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Не слабо 16.5 мега А 2 раза это для уверенности ?

  8. #7
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39
    ) не это просто с оперы отправлял, в ослик забыл вырубить((

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    у меня такое чувство , что нод мешает копированию. Самое интересное не попало ;(

  10. #9
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39

    И что же теперь делать?))

    и что мне делать ?))))))))

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Выключите активный мониторинг нода и отключитесь от интернета .
    запустите скрипт- и если в архиве окажутся файлы кроме ini, загрузите и в любом случае сообщите.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\system32\awtsqrr.dll','');
     QuarantineFile('C:\WINDOWS\system32\adygouve.dll','');
    QuarantineFile('C:\WINDOWS\system32\bfsgcttx.dll','');
    QuarantineFile('C:\WINDOWS\system32\cpmjyunc.dll','');
    QuarantineFile('C:\WINDOWS\system32\fvlkyjhc.dll','');
    QuarantineFile('C:\WINDOWS\system32\ghseradj.dll','');
    QuarantineFile('C:\WINDOWS\system32\imxkfhul.dll','');
    QuarantineFile('C:\WINDOWS\system32\j7281835.dll','');
    QuarantineFile('C:\WINDOWS\system32\paqqhguh.dll','');
    QuarantineFile('C:\WINDOWS\system32\tpbcxbup.dll','');
    QuarantineFile('C:\WINDOWS\system32\ujfiebsk.exe','');
    QuarantineFile('C:\WINDOWS\system32\uqsvbuit.dll','');
    QuarantineFile('C:\WINDOWS\system32\xusjwgom.dll','');
    BC_ImportQuarantineList;
    BC_Activate;
    RebootWindows(true);
    end.

  12. #11
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39
    в архиве тока *ini
    )) и что из этого значит, как вылечить awtsqrr.dll от Virtumonde ? ))

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Если вы чуток потерпите, для блага всех - надо подумать . Написать скрипт удаления можно, но хотелось бы заиметь перед этим копии файлов. Что толку, если нод одного знает , а 10 остальных нет ?

    А что с ручным поиском ? попробуйте пожалуйста найти файлики . вот например способ :
    http://virusinfo.info/showthread.php?t=4567

  14. #13
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39
    Цитата Сообщение от drongo Посмотреть сообщение
    Если вы чуток потерпите, для блага всех - надо подумать . Написать скрипт удаления можно, но хотелось бы заиметь перед этим копии файлов. Что толку, если нод одного знает , а 10 остальных нет ?
    как понять одного знает а 10 остальных нет??? ... он видит в оперативки и в реесте заражённую библиотеку длл awtsqrr.dll какие 10 остальных??
    ещё вирус видно утилитой DocWebа - CureIt! (но не удаляецо и не лечитцо)
    и видно troyan removerom

    прошу вас напишите скрипт, а то йа уже замучился с эти вирусняком ((


    Цитата Сообщение от drongo Посмотреть сообщение
    А что с ручным поиском ? попробуйте пожалуйста найти файлики . вот например способ :
    http://virusinfo.info/showthread.php?t=4567
    а что с ручным поиском?? какие файлики найти?)) немного непонял(( йа

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    вот они , все должны у вас в паке C:\WINDOWS\system32\ лежать, скорее всего скрыты виндоусом:
    awtsqrr.dll
    adygouve.dll
    bfsgcttx.dll
    cpmjyunc.dll
    fvlkyjhc.dll
    ghseradj.dll
    imxkfhul.dll
    j7281835.dll
    paqqhguh.dll
    tpbcxbup.dll
    ujfiebsk.exe
    uqsvbuit.dll
    xusjwgom.dll
    P.S. вообще-то их 13 , как братьев Оушена
    в безопасном режиме поищите
    Последний раз редактировалось drongo; 20.06.2007 в 23:51.

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    Попробуйте так в безопасном режиме , неужели и теперь не попадёт ? как поживает ручной поиск ?
    Код:
    begin
    StopService('NOD32krn');
    StopService('sdAuxService');
    StopService('sdCoreService');
    BC_QrFile('C:\WINDOWS\system32\xusjwgom.dll');
    BC_QrFile('C:\WINDOWS\system32\uqsvbuit.dll');
    BC_QrFile('C:\WINDOWS\system32\ujfiebsk.exe');
    BC_QrFile('C:\WINDOWS\system32\tpbcxbup.dll');
    BC_QrFile('C:\WINDOWS\system32\paqqhguh.dll');
    BC_QrFile('C:\WINDOWS\system32\j7281835.dll');
    BC_QrFile('C:\WINDOWS\system32\imxkfhul.dll');
    BC_QrFile('C:\WINDOWS\system32\ghseradj.dll');
    BC_QrFile('C:\WINDOWS\system32\fvlkyjhc.dll');
    BC_QrFile('C:\WINDOWS\system32\cpmjyunc.dll');
    BC_QrFile('C:\WINDOWS\system32\bfsgcttx.dll');
    BC_QrFile('C:\WINDOWS\system32\adygouve.dll');
    BC_QrFile('C:\WINDOWS\system32\bfsgcttx.dll');
    BC_QrFile('C:\WINDOWS\system32\awtsqrr.dll');
    BC_DeleteFile('C:\WINDOWS\system32\awtsqrr.dll');
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3000
    Цитата Сообщение от GuFFi.fbr Посмотреть сообщение
    У меня стоит нод32
    Какая версия? Обновите до 2.70.32, если еще не сделали.

  18. #17
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39
    Цитата Сообщение от Rene-gad Посмотреть сообщение
    Какая версия? Обновите до 2.70.32, если еще не сделали.
    Стоит 2.70.32


    После выполнения скрипта в безопасном режиме... файлы удалились!

    Спасибо огромное!!! Вирусов больше НЕТ!!!

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Погодите, не убегайте. Там удалялся всего один файл, остальное шло в карантин. Где архив?

  20. #19
    Junior Member Репутация
    Регистрация
    19.06.2007
    Сообщений
    15
    Вес репутации
    39
    Архив?? Ахрхив с чем???)) немного не до понял)... нод и cueit и avz показали что компотер полнустью чист)) йа счастлив...!))

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    архив с карантином,который должен был получиться после выполнения скрипта drongo #15

  • Уважаемый(ая) GuFFi.fbr, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Adware.Virtumonde.NEO
      От Dmitry F в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 01.04.2009, 11:41
    2. Adware.Virtumonde
      От ZVT в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 07:15
    3. Adware.Virtumonde
      От FloriaN в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:55
    4. Win32/adware.Virtumonde & ..Virtumonde.Fp
      От Alln0rd в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:34
    5. Adware.Virtumonde
      От Jerich0 в разделе Помогите!
      Ответов: 10
      Последнее сообщение: 22.02.2009, 05:23

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00305 seconds with 17 queries