-
Junior Member
- Вес репутации
- 59
Virtumonde в оперативной памяти
Неделю назад комп (ноутбук ASUS) где-то в сети подхватил вирус. NOD32 его обнаруживает и выдает сообщение "приложение Win32/Adware.Virtumonde найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\wvuvspo.dll", но не удаляет. Т.е. собирается удалить при перезагрузке, но после перезагрузки все остается как было. Антивирусник обновляется автоматически несколько раз в день. Программой Ad-Aware для удаления рекламных модулей вирус не обнаруживается. До вчерашнего дня вирус просто пытался подключиться куда-то, но NOD связь обрубал. Вирус только периодически плодил dll-файлы, которые я удалял вручную. Вчера начали поялвляться dll-файлы, которые NOD не видит и вручную не удаляются. Эти файлы принадлежат Virtumonde, проверял касперским-on-line. Начали загружаться страницы с предложением купить софт и т.п. CureIt удалил BackDoor.exe из svchost.exe и вышеупомянутый dll-файл, который, однако, снова появляется при загрузке. Помогите, пожалуйста. Логи прилагаю.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Куда логи прилогаете?здесь не видно
-
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось atkins; 07.05.2011 в 18:36.
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\mmbin2.exe','');
QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
QuarantineFile('C:\WINDOWS\system32\dcdufwvi.dll','');
QuarantineFile('C:\WINDOWS\all.exe','');
QuarantineFile('C:\WINDOWS\system32\wvuvspo.dll','');
QuarantineFile('C:\WINDOWS\system32\pmnnm.dll','');
QuarantineFile('C:\WINDOWS\system32\layywccg.dll','');
DeleteFile('C:\WINDOWS\system32\layywccg.dll');
DeleteFile('C:\WINDOWS\system32\pmnnm.dll');
DeleteFile('C:\WINDOWS\system32\wvuvspo.dll');
DeleteFile('C:\WINDOWS\all.exe');
DeleteFile('C:\WINDOWS\system32\dcdufwvi.dll');
DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
DelBHO('{91223DE9-F8E6-4FFD-8889-BE6784C18696}');
DelBHO('{73B5F3D0-2F14-4F9C-A892-87F5A4FD1AC6}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=20585).
Обновите базы AVZ!
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 59
Карантин выслал. Сейчас сделаю новые логи.
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось atkins; 07.05.2011 в 18:36.
-
Пофиксить
Код:
O20 - Winlogon Notify: wvuvspo - wvuvspo.dll (file missing)
O2 - BHO: (no name) - {8A157CB3-CEF3-4076-A274-21FC2F53F763} - C:\WINDOWS\system32\pmnnm.dll (file missing)
O2 - BHO: (no name) - {91223DE9-F8E6-4FFD-8889-BE6784C18696} - C:\WINDOWS\system32\wvuvspo.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pmnnm.dll','');
QuarantineFile('C:\WINDOWS\system32\wvuvspo.dll','');
QuarantineFile('wvuvspo.dll','');
DeleteFile('wvuvspo.dll');
DeleteFile('C:\WINDOWS\system32\pmnnm.dll');
DeleteFile('pmnnm.dll');
DeleteFile('C:\WINDOWS\system32\wvuvspo.dll');
DelBHO('{91223DE9-F8E6-4FFD-8889-BE6784C18696}');
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
DelBHO('{8A157CB3-CEF3-4076-A274-21FC2F53F763}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20585
Обновите базы AVZ и повторите логи.
-
-
Junior Member
- Вес репутации
- 59
AVZ базы обновил, карантин выслал. Новые логи прилагаю.
Последний раз редактировалось atkins; 07.05.2011 в 18:36.
-
Теперь чисто,жалобы есть?
-
-
Junior Member
- Вес репутации
- 59
Пока нет. По крайней мере, никто не ломится каждые 10 минут в систему и не предлагает оптимизировать ее. А что за зараза была у меня? Только Virtumonde, или еще кто-то?
-
В карантин попадал только not-a-virus:AdWare.Win32.Virtumonde.gen.
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 12
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\mmbin2.exe - Trojan.Win32.Delf.bly (DrWEB: Trojan.Umka)
- c:\\windows\\system32\\dcdufwvi.dll - Trojan.Win32.Monder.v (DrWEB: Trojan.Virtumod.289)
- c:\\windows\\system32\\layywccg.dll - Trojan.Win32.Monder.aa (DrWEB: Trojan.Virtumod.272)
- c:\\windows\\system32\\pmnnm.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.274)
- c:\\windows\\system32\\wvuvspo.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.240)
-