Junior Member
Вес репутации
59
Packed.Win32.Monder.gen & sanitardiska.com
Здравствуйте. словил где-то вирусняка...
периодически браузеры (и лиса и осел) пытаются открыть страницу санитардиска, но фаервол (агнитум) это блокирует...
и уже второй день не могу побороть Packed.Win32.Monder.gen
при загрузке системы вываливаются куча аллертов от f-secure с предупреждениями что этот вирус внедрен в две длл-ки (urqqggde.dll и ssqrklia.dll)
выбираю в f-secure "удаление", он пытается удалить, но, ввиду того что длл-ки заняты - предлагает перегрузить комп. после перезагрузки ситуация повторяется...
прикладываю логи
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Отключите Антивирус!
Пофиксить
Код:
O4 - HKLM\..\Run: [Microsoft Updates] svehost.exe
O4 - HKLM\..\Run: [88bfd466] rundll32.exe "C:\WINDOWS.1\system32\fynaokmh.dll",b
O4 - HKLM\..\Run: [BM8b8ce7fa] Rundll32.exe "C:\WINDOWS.1\system32\tpqgyswr.dll",s
O4 - HKLM\..\RunServices: [Microsoft Updates] svehost.exe
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{F4CF0544-197E-4EAF-8184-D3175C59DE54}');
DelBHO('{E5D73A2B-6A14-4EB5-9969-EDB0EFBAC9FB}');
DelBHO('{DB2E9250-EBD1-4FFE-844C-1700E9F9E311}');
DelBHO('{C16ABBC9-0397-4363-BE24-8F1ADE4E0900}');
DelBHO('{AC12C9F0-CC29-4E8A-A6E6-3BFC511F6E54}');
DelBHO('{99A04490-7F1E-4518-B943-8863DE9908F6}');
DelBHO('{85D7C0B0-B3B5-4D42-A44D-388A5D521EEC}');
DelBHO('{80C31243-9488-47BF-B660-27DF22398340}');
DelBHO('{7AFCFF70-5533-43AD-A00A-7BB749F54523}');
DelBHO('{4F05BA35-BE88-4CB3-AC5A-FF2882EB72BE}');
DelBHO('{4D90EA61-2EA3-48A4-9E0A-1F0930757E34}');
DelBHO('{46555D74-BF2D-4F52-B423-2BA7457B1AAA}');
DelBHO('{3966BFB7-0D85-4E3C-843A-C444FBF41B43}');
DelBHO('{2D39AE38-D4C8-4DE4-B88C-3825AF442B98}');
DelBHO('{2473D830-2B18-4F15-B39D-E06E199BC082}');
DelBHO('{1A990165-9E54-4C8E-A78C-24E0D60EFBBD}');
QuarantineFile('svehost.exe','');
QuarantineFile('ssqRklIa.dll','');
QuarantineFile('C:\WINDOWS.1\system32\tpqgyswr.dll','');
QuarantineFile('C:\WINDOWS.1\system32\urqQggde.dll','');
QuarantineFile('C:\WINDOWS.1\system32\ssqRklIa.dll','');
QuarantineFile('C:\WINDOWS.1\system32\fynaokmh.dll','');
DeleteFile('C:\WINDOWS.1\system32\fynaokmh.dll');
DeleteFile('C:\WINDOWS.1\system32\ssqRklIa.dll');
DeleteFile('C:\WINDOWS.1\system32\urqQggde.dll');
DeleteFile('C:\WINDOWS.1\system32\tpqgyswr.dll');
DeleteFile('ssqRklIa.dll');
DeleteFile('svehost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке:http://virusinfo.info/upload_virus.php?tid=21879
Повторите логи.
Junior Member
Вес репутации
59
ура! все получилось! супер! : )))
спасибо! карантин выслал
Логи повторите
Карантин:
fynaokmh.dll-not-a-virus:AdWare.Win32.Virtumonde.pmw
ssqRklIa.dll-not-a-virus:AdWare.Win32.Virtumonde.nmz
urqQggde.dll-Packed.Win32.Monder.gen
Последний раз редактировалось Гриша; 22.04.2008 в 16:00 .
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 27 В ходе лечения обнаружены вредоносные программы:
c:\\windows.1\\system32\\fynaokmh.dll - not-a-virus:AdWare.Win32.Virtumonde.pmw (DrWEB: Trojan.Virtumod.based) c:\\windows.1\\system32\\ssqrklia.dll - not-a-virus:AdWare.Win32.Virtumonde.nmz (DrWEB: Trojan.Virtumod.based) c:\\windows.1\\system32\\urqqggde.dll - not-a-virus:AdWare.Win32.Virtumonde.qus (DrWEB: Trojan.Virtumod.based)