Junior Member
Вес репутации
59
Win32/Adware.Virtumonde.FP !!
Помогите плиз! Нод обнаруживает в памяти - C:\WINDOWS\system32\cbXQjIyY.dll - пишет что будет удален при след. запуске. Ниче не удаляет, пробовал в безопасном режиме - то же самое. Нужно слать логи или есть какие-то утилиты, чтоб по быстрому эту заразу грохнуть? Заранее спасибо.
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Junior Member
Вес репутации
59
Вложения
Junior Member
Вес репутации
59
Логи выложил, жду вашей помощи, уважаемые специалисты
Отключите Антивирус!
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\iezjazj.dll','');
QuarantineFile('C:\WINDOWS\system32\wupdsvc5.exe','');
QuarantineFile('wvUnnmnK.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\user\LOCALS~1\Temp\nenum13E.sys','');
QuarantineFile('C:\WINDOWS\system32\wvUnnmnK.dll','');
QuarantineFile('C:\WINDOWS\system32\kmsjtiek.dll','');
QuarantineFile('C:\WINDOWS\system32\difimxjp.dll','');
QuarantineFile('C:\WINDOWS\system32\cbXQjIyY.dll','');
DeleteFile('C:\WINDOWS\system32\cbXQjIyY.dll');
DeleteFile('C:\WINDOWS\system32\difimxjp.dll');
DeleteFile('C:\WINDOWS\system32\kmsjtiek.dll');
DeleteFile('C:\WINDOWS\system32\wvUnnmnK.dll');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\wupdsvc5.exe');
DeleteFile('C:\WINDOWS\system32\iezjazj.dll');
DeleteFile('wvUnnmnK.dll');
DelBHO('{CDA56D3E-5142-4A79-9A3A-16D213B91F94}');
DelBHO('{77D3A5B4-CFD1-4046-8909-7CD99A68311F}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1 );
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21510
Повторите логи.
Junior Member
Вес репутации
59
Скрипт выполнил. Теперь Нод при запуске не ругается, файл C:\WINDOWS\system32\cbXQjIyY.dll тоже вроде исчез
Карантин вам отправил.
Логи:
Вложения
Карантин:
iezjazj.dll-Trojan-Spy.Win32.Goldun.pm
wupdsvc5.exe-Trojan-PSW.Win32.Zbot.z
wvUnnmnK.dll- not-a-virus:AdWare.Win32.Virtumonde.mdu
Остальная гопкоманда ухала в ВирЛаб
Пофиксить
Код:
O2 - BHO: (no name) - {68337D0C-E38F-4BE5-AA3E-DB95D86A6183} - C:\WINDOWS\system32\cbXQjIyY.dll (file missing)
O2 - BHO: (no name) - {77D3A5B4-CFD1-4046-8909-7CD99A68311F} - C:\WINDOWS\system32\wvUnnmnK.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [10203b10] rundll32.exe "C:\WINDOWS\system32\ikjopobu.dll",b
O4 - HKLM\..\Run: [BM1313088c] Rundll32.exe "C:\WINDOWS\system32\wwhxweru.dll",s
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: wvUnnmnK - C:\WINDOWS\
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ikjopobu.dll');
DeleteFile('C:\WINDOWS\system32\wwhxweru.dll');
DeleteFile('C:\WINDOWS\system32\cbXQjIyY.dll');
DeleteFile('C:\WINDOWS\system32\wvUnnmnK.dll');
DelBHO('{77D3A5B4-CFD1-4046-8909-7CD99A68311F}');
DelBHO('{68337D0C-E38F-4BE5-AA3E-DB95D86A6183}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи.
Junior Member
Вес репутации
59
Вложения
Пришлите этот файлик nenum13E.sys согласно приложению 2 правил.
Junior Member
Вес репутации
59
отправил, жду
В логах чисто,жалобы есть?
Junior Member
Вес репутации
59
вроде работает без проблем большое спасибо за ваше внимание и помощь
Нам интересно Ваше мнение о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 31 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\system32\\difimxjp.dll - not-a-virus:AdWare.Win32.Virtumonde.nve (DrWEB: Trojan.Virtumod.based) c:\\windows\\system32\\iezjazj.dll - Trojan-Spy.Win32.Goldun.pm (DrWEB: Trojan.PWS.GoldSpy) c:\\windows\\system32\\kmsjtiek.dll - not-a-virus:AdWare.Win32.Virtumonde.nvf (DrWEB: Trojan.Virtumod.based) c:\\windows\\system32\\wupdsvc5.exe - Trojan-Spy.Win32.Zbot.aad (DrWEB: Trojan.Proxy.2071) c:\\windows\\system32\\wvunnmnk.dll - not-a-virus:AdWare.Win32.Virtumonde.mdu (DrWEB: Trojan.Virtumod.287)