Показано с 1 по 10 из 10.

Не удаляется win32/adware.Virtumonde (заявка № 25675)

  1. #1
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    12
    Вес репутации
    37

    Thumbs up Не удаляется win32/adware.Virtumonde

    После 5 минут работы винды вылетает ошибка приложения explorer.exe - память не может быть reed. Комп не перегружается, просто после этого отключаются некоторые программы - и всё работает дальше.

    1. нод находит win32/adware.Virtumonde в файле \system32\cbXOGwRk.dll, который пытается получить доступ к winlogon.exe. Не удаляется даже в безопасном режиме.

    2. CureIT видит только в реестре что-то от FlyakiteOSX как программу взлома. Ну, по сути это так и есть. На всякий случай удалила. Хотя это устанавливала ооочень давно. И раньше никаких проблем не было.

    3. все логи прилагаются.

    Заранее спасибо за помощь =)
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}');
     DelBHO('{8DAE90AD-4583-4977-9DD4-4360F7A45C74}');
     DelBHO('{F86B11F3-0CE1-475F-9541-5329BF7B3597}');
     DelBHO('{AAC9559E-6749-4B44-A816-EC34FB13EEBF}');
     QuarantineFile('C:\WINDOWS\system32\khatiiwr.dll','');
     QuarantineFile('Rpcsavonfmnw.sys','');
     QuarantineFile('CCALib8.sys','');
     QuarantineFile('C:\WINDOWS\system32\cbXQiGvW.dll','');
     QuarantineFile('C:\WINDOWS\system32\cbXOGwTk.dll','');
     DeleteFile('C:\WINDOWS\system32\cbXOGwTk.dll');
     DeleteFile('C:\WINDOWS\system32\cbXQiGvW.dll');
     DeleteFile('cbXOGwTk.dll');
     DeleteFile('C:\WINDOWS\system32\khatiiwr.dll');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25675

    Повторите логи.

  4. #3
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    12
    Вес репутации
    37
    карантин отправила.
    +провторные логи
    Вложения Вложения

  5. #4
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В карантин попали только двое:

    cbXQiGvW.dll, khatiiwr.dll - Trojan.Win32.Monderc.gen

    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('CCALib8.sys','');
     QuarantineFile('Rpcsavonfmnw.sys','');
     DeleteFile('Rpcsavonfmnw.sys');
    BC_ImportAll;
    BC_QrSvc('CCALib8');
    BC_DeleteSvc('Rpcsavonfmnw');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=25675

    2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: (no name) - {07A0219B-932F-4082-B959-09EA4EEA2A1E} - C:\WINDOWS\system32\cbXQiGvW.dll (file missing)
    O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
    O20 - Winlogon Notify: cbXOGwTk - C:\WINDOWS\
    Повторите логи начиная с п.10 правил.

  6. #5
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    12
    Вес репутации
    37
    При выполнении скрипта пишет несколько раз - ошибка: каратнтин с использованием прямого чтения.
    Поэтому высылаю то, что получилось.
    Пофиксила.
    + логи
    Вложения Вложения

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('CCALib8.sys');
    BC_ImportDeletedList;
    BC_DeleteSvc('CCALib8');
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Повторите лог virusinfo_syscheck.zip

  8. #7
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    12
    Вес репутации
    37
    новый лог
    Вложения Вложения

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Больше врагов не видать в логах. В Hosts файл сами записи вносили?

    127.0.0.1 localhost
    127.0.0.1 ad.doubleclick.net
    127.0.0.10 banner.fastclick.net
    127.0.0.11 banners.fastclick.net
    127.0.0.12 ca.com
    127.0.0.13 click.atdmt.com
    127.0.0.14 clicks.atdmt.com
    127.0.0.15 dispatch.mcafee.com
    127.0.0.16 download.mcafee.com
    127.0.0.17 download.microsoft.com
    127.0.0.18 downloads.microsoft.com
    127.0.0.19 engine.awaps.net
    127.0.0.1 www.awaps.net
    127.0.0.1 www.fastclick.net
    Если да - то всё нормально, если нет, тогда в АВЗ--файл--Восстановление системы, поставьте галочку возле 13. Очистка файла Hosts
    Затем нажмите кнопку внизу, Выполнить отмеченный операции и АВЗ сбросит настройки на стандартные.

  10. #9
    Junior Member Репутация
    Регистрация
    19.11.2007
    Сообщений
    12
    Вес репутации
    37
    Спасибо большое!!!!! =)
    Хостс не трогала. Так что сделала как Вы сказали.
    Надеюсь, больше проблем не будет =)

  11. #10
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 23
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\cbxqigvw.dll - Trojan.Win32.Monderc.gen (DrWEB: Trojan.Virtumod.based.21)
      2. c:\\windows\\system32\\khatiiwr.dll - Trojan.Win32.Monderc.gen (DrWEB: Trojan.Virtumod.422)


  • Уважаемый(ая) Laime, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Win32/adware.Virtumonde & ..Virtumonde.Fp
      От Alln0rd в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 06:34
    2. Win32/Adware.Virtumonde
      От Advisor в разделе Помогите!
      Ответов: 15
      Последнее сообщение: 22.02.2009, 05:11
    3. Win32/Adware.Virtumonde.FP !!
      От FloriaN в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 04:55
    4. Win32/Adware.Virtumonde.FP
      От sergmd в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 22.02.2009, 04:48
    5. win32/Adware.Virtumonde
      От миу-миу в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 26.08.2008, 00:35

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01057 seconds with 17 queries