Virtumonde в оперативной памяти

**atkins** · 28.03.2008, 12:47

Неделю назад комп (ноутбук ASUS) где-то в сети подхватил вирус. NOD32 его обнаруживает и выдает сообщение "приложение Win32/Adware.Virtumonde найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\wvuvspo.dll", но не удаляет. Т.е. собирается удалить при перезагрузке, но после перезагрузки все остается как было. Антивирусник обновляется автоматически несколько раз в день. Программой Ad-Aware для удаления рекламных модулей вирус не обнаруживается. До вчерашнего дня вирус просто пытался подключиться куда-то, но NOD связь обрубал. Вирус только периодически плодил dll-файлы, которые я удалял вручную. Вчера начали поялвляться dll-файлы, которые NOD не видит и вручную не удаляются. Эти файлы принадлежат Virtumonde, проверял касперским-on-line. Начали загружаться страницы с предложением купить софт и т.п. CureIt удалил BackDoor.exe из svchost.exe и вышеупомянутый dll-файл, который, однако, снова появляется при загрузке. Помогите, пожалуйста. Логи прилагаю.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Гриша** · 28.03.2008, 12:50

Куда логи прилогаете?здесь не видно

**atkins** · 28.03.2008, 12:52

Забыл вложить логи.

**Bratez** · 28.03.2008, 12:57

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\mmbin2.exe','');
 QuarantineFile('C:\WINDOWS\system32\kernelwind32.exe','');
 QuarantineFile('C:\WINDOWS\system32\dcdufwvi.dll','');
 QuarantineFile('C:\WINDOWS\all.exe','');
 QuarantineFile('C:\WINDOWS\system32\wvuvspo.dll','');
 QuarantineFile('C:\WINDOWS\system32\pmnnm.dll','');
 QuarantineFile('C:\WINDOWS\system32\layywccg.dll','');
 DeleteFile('C:\WINDOWS\system32\layywccg.dll');
 DeleteFile('C:\WINDOWS\system32\pmnnm.dll');
 DeleteFile('C:\WINDOWS\system32\wvuvspo.dll');
 DeleteFile('C:\WINDOWS\all.exe');
 DeleteFile('C:\WINDOWS\system32\dcdufwvi.dll');
 DeleteFile('C:\WINDOWS\system32\kernelwind32.exe');
 DelBHO('{91223DE9-F8E6-4FFD-8889-BE6784C18696}');
 DelBHO('{73B5F3D0-2F14-4F9C-A892-87F5A4FD1AC6}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=20585).
Обновите базы AVZ!
Сделайте новые логи.

**atkins** · 28.03.2008, 13:16

Карантин выслал. Сейчас сделаю новые логи.

**atkins** · 28.03.2008, 13:36

Высылаю новые логи.

**Гриша** · 28.03.2008, 13:48

Пофиксить

Код:

O20 - Winlogon Notify: wvuvspo - wvuvspo.dll (file missing)
O2 - BHO: (no name) - {8A157CB3-CEF3-4076-A274-21FC2F53F763} - C:\WINDOWS\system32\pmnnm.dll (file missing)
O2 - BHO: (no name) - {91223DE9-F8E6-4FFD-8889-BE6784C18696} - C:\WINDOWS\system32\wvuvspo.dll (file missing)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pmnnm.dll','');
QuarantineFile('C:\WINDOWS\system32\wvuvspo.dll','');
QuarantineFile('wvuvspo.dll','');
DeleteFile('wvuvspo.dll');
DeleteFile('C:\WINDOWS\system32\pmnnm.dll');
DeleteFile('pmnnm.dll');
DeleteFile('C:\WINDOWS\system32\wvuvspo.dll');
DelBHO('{91223DE9-F8E6-4FFD-8889-BE6784C18696}');
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
DelBHO('{8A157CB3-CEF3-4076-A274-21FC2F53F763}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=20585

Обновите базы AVZ и повторите логи.

**atkins** · 28.03.2008, 14:29

AVZ базы обновил, карантин выслал. Новые логи прилагаю.

**Гриша** · 28.03.2008, 14:40

Теперь чисто,жалобы есть?

**atkins** · 28.03.2008, 14:45

Пока нет. По крайней мере, никто не ломится каждые 10 минут в систему и не предлагает оптимизировать ее. А что за зараза была у меня? Только Virtumonde, или еще кто-то?

**Гриша** · 28.03.2008, 14:48

В карантин попадал только not-a-virus:AdWare.Win32.Virtumonde.gen.

Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.

Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

**CyberHelper** · 22.02.2009, 04:35

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 12
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\mmbin2.exe - Trojan.Win32.Delf.bly (DrWEB: Trojan.Umka)
2. c:\\windows\\system32\\dcdufwvi.dll - Trojan.Win32.Monder.v (DrWEB: Trojan.Virtumod.289)
3. c:\\windows\\system32\\layywccg.dll - Trojan.Win32.Monder.aa (DrWEB: Trojan.Virtumod.272)
4. c:\\windows\\system32\\pmnnm.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.274)
5. c:\\windows\\system32\\wvuvspo.dll - Trojan.Win32.Monder.gen (DrWEB: Trojan.Virtumod.240)

Virtumonde в оперативной памяти (заявка № 20585)

Опции темы

Virtumonde в оперативной памяти

Итог лечения

Похожие темы

Троян в оперативной памяти

Вирус в оперативной памяти

модифицированный Win32/Kryptik.GZ троян найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\\WINDOWS\\system32\\pmnnMDUM.dll. (заявка №24711)

вирус Win32/Adware.Virtumonde в оперативной памяти

Win32/Adware.Virtumonde.FP найден в оперативной памяти

Ваши права в разделе