Вирус Trojan.Virtumod.260, Помогите вычистить.

**Jhon10** · 13.02.2008, 09:26

Вирус по всей видимости прибыл с письмом:
Письмо с известного сервера postcard.ru -> Вам пришла открытка и т.д.,
Я подумал что кто нибудь из знакомых послал и "нажал на педаль".
Т.е. маскировка и очень правдивая.
После этого попал на сайт, который высвечивается как: 83. ... , полный адрес не запомнил, но смогу прислать при следующем обращении к нему.
Дальше глюки с инетом, куча окошек, среди которых он предлагает сохранить файл с длинным - длинным названием и расширением exe. После этого высвечивается окошко среди текстовки просматривается фраза To clean C: Но вроде как ничего не происходит даже если нажмешь ОК.
Пробовал вычистить с помощью CureIt говорит, что лечится, НО при перезагрузке системы, система впадает в транс и восстанавливает FAT (у меня FAT ), т.е. примерно как после резкого обрыва питания.
После загрузки система говорит, что восстановлена после серьезной ошибки и еще говорит что то про реестр.
Вирус опять просматривается уже в других файлах.
Дальше: принудительно отключаю все подозрительные процессы с помощью procexp и проверяю на вирусы -> Вирусов не находит.
И не находит вирусов до тех пор пока не откроешь браузер Mozilla. (До конца не отслеживал, но вроде так и есть).
Далее все заново.
Находит вирусы: Virtumod, а еще Trojan.Starter с различными модификациями.
Вроде все описал. Спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**akok** · 13.02.2008, 09:49

virus.zip - это карантин, уберите!

**Jhon10** · 13.02.2008, 10:01

Прошу прощения за мою безграмотность.
Пытаюсь убрать файл virus.zip Правка -> Расширенный режим -> Управление вложениями -> удалить ( virus.zip)
Но выскакивает сообщение: недостаточно прав. (Вроде зашел под своим аккаунтом и в своей теме)

**akok** · 13.02.2008, 10:15

Модератор уже почистил

Добавлено через 1 минуту

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
  QuarantineFile('c:\windows\system32\urqromn.dll','');
 QuarantineFile('C:\WINDOWS\system32\ssqppnk.dll','');
 QuarantineFile('C:\Documents and Settings\jhon.JHON-MEDUSA\Local Settings\Temp\~DF9DDC.tmp','');
 QuarantineFile('C:\WINDOWS\System32\ffdhlrng.dll','');
 QuarantineFile('whost.dll','');
 QuarantineFile('emqlasja.dll','');
 QuarantineFile('C:\WINDOWS\system32\sammonNT.dll','');
 QuarantineFile('C:\WINDOWS\System32\urqromn.dll','');
 QuarantineFile('C:\WINDOWS\System32\mljge.dll','');
 QuarantineFile('C:\WINDOWS\System32\cyttaotm.dll','');
 QuarantineFile('C:\WINDOWS\system32\emqlasja.dll','');
 DeleteFile('C:\WINDOWS\System32\mljge.dll');
 DeleteFile('emqlasja.dll');
 DeleteFile('C:\WINDOWS\System32\urqromn.dll');
 DeleteFile('C:\WINDOWS\System32\cyttaotm.dll');
 DeleteFile('whost.dll');
 DeleteFile('C:\WINDOWS\System32\ffdhlrng.dll');
 DeleteFile('C:\Documents and Settings\jhon.JHON-MEDUSA\Local Settings\Temp\~DF9DDC.tmp');
 DeleteFile('C:\WINDOWS\system32\ssqppnk.dll');
 DeleteFile('c:\windows\system32\urqromn.dll');
 RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{11111111-1111-1111-1111-222222222222}');
 DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
 DelBHO('{A051B1FF-8D7E-418B-AABE-4FF82F4280A2}');
 DelBHO('{45df1af3-eaaa-49dc-9e38-483efd983d6f}');
 DelBHO('{B42F1B7B-8EE2-48D1-9C34-C025B73E12C8}');
 BC_ImportALL;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17974

Повторите логи

Добавлено через 6 минут

Прямое чтение C:\Documents and Settings\jhon.JHON-MEDUSA\Мои документы\pos*.tmp
Прямое чтение C:\pos*.tmp

Пару файликов находящихся по вышеуказанным адресам, пришлите согласно правил

**Jhon10** · 13.02.2008, 11:01

Карантин отправил по ссылке.
Новые логи прицепил к ответу.
Комп на вирусы еще не проверял.
В логах у меня есть еще файл virusinfo_cure если его надо то тоже отправлю.

Спасибо за содействие.

**V_Bond** · 13.02.2008, 11:24

пофиксите ....

Код:

R3 - URLSearchHook: (no name) - {9CB65206-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 5.0\Acrobat\ActiveX\AcroIEHelper.ocx
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Ask Search Assistant BHO - {9CB65201-89C4-402c-BA80-02D8C59F9B1D} - C:\Program Files\AskTBar\SrchAstt\1.bin\A5SRCHAS.DLL (file missing)
O2 - BHO: (no name) - {A051B1FF-8D7E-418B-AABE-4FF82F4280A2} - (no file)
O2 - BHO: (no name) - {A95B2816-1D7E-4561-A202-68C0DE02353A} - C:\WINDOWS\System32\emqlasja.dll
O2 - BHO: (no name) - {ABD66641-8E38-48FA-BD8E-93F6D3C87298} - C:\WINDOWS\System32\mljge.dll (file missing)
O2 - BHO: Ask Toolbar BHO - {FE063DB1-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O3 - Toolbar: Ask Toolbar - {FE063DB9-4EC0-403e-8DD8-394C54984B2C} - C:\Program Files\AskTBar\bar\1.bin\ASKTBAR.DLL (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: emqlasja - C:\WINDOWS\
O20 - Winlogon Notify: urqromn - urqromn.dll (file missing)
O21 - SSODL: system - {6AD01059-32CF-4494-A183-19ED54DCA686} - (no file)

выполните скрипт ...

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\mljge.dll','');
 QuarantineFile('C:\WINDOWS\System32\emqlasja.dll','');
 DeleteFile('C:\WINDOWS\System32\emqlasja.dll');
 DeleteFile('C:\WINDOWS\System32\mljge.dll');
 DelBHO('{ABD66641-8E38-48FA-BD8E-93F6D3C87298}');
 DelBHO('{A95B2816-1D7E-4561-A202-68C0DE02353A}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
повторите логи ...

**Jhon10** · 14.02.2008, 09:51

Доброе утро всем.

Скрипты выполнил.
Карантин пустой.
Логи присылаю.
AVZ не видит ничего подозрительного (на сколько я понимаю), не видит также и CureIt.

Огромное спасибо.

**wise-wistful** · 14.02.2008, 10:11

Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Это нужно обовить до SP2 и v7 соответственно + все критические обновления.

**akok** · 14.02.2008, 10:24

В логах чисто

**Jhon10** · 14.02.2008, 12:10

Спасибо за рекомендации и за помощь.

Мне файлы pos*.tmp присылать? или уже отпала необходимость? (только сейчас увидел в сообщении).

**akok** · 14.02.2008, 12:40

Лучше удалить...

**CyberHelper** · 22.02.2009, 03:53

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 31
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\cyttaotm.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.272)
2. c:\\windows\\system32\\emqlasja.dll - not-a-virus:AdWare.Win32.Virtumonde.dnn (DrWEB: Trojan.Virtumod.260)
3. c:\\windows\\system32\\ffdhlrng.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.269)
4. c:\\windows\\system32\\mljge.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.26
5. c:\\windows\\system32\\ssqppnk.dll - not-a-virus:AdWare.Win32.Virtumonde.dyn (DrWEB: Trojan.Virtumod.240)
6. c:\\windows\\system32\\urqromn.dll - not-a-virus:AdWare.Win32.Virtumonde.dyn (DrWEB: Trojan.Virtumod.240)