Junior Member
Вес репутации
60
Помогите,Virtumonde
Во время установки некоторого ПО,нод32 оповестил о наличии там вирусов,в том числе и virtumonde,он прекртаили установку,но было поздно.в автозагрузку начали прописываться непонятные dll из папки system32, не открываются веб-страницы до тех пор,пока через диспчетчер задач не убить explorer,а потом не запустить его заново.плюдс система стала жутко тормозить.помогите,пожалуйста исправить эту незадачу.
Добавлено через 8 минут
почему-то не вложилось в первое сообщение(пришлось добавить здесь.
Последний раз редактировалось notepad; 23.07.2008 в 02:50 .
Причина: Добавлено
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Что-то снова у Вас не получилось логи вложить.
Junior Member
Вес репутации
60
Вложения
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\dowqfntm.dll','');
DelBHO('{80B0DE45-9ADF-421C-8DDF-1461D4B24372}');
DelBHO('{769D8280-A207-4EEA-9963-F8B156C32855}');
QuarantineFile('C:\WINDOWS\kvxqmtre.dll','');
QuarantineFile('C:\WINDOWS\evgratsm.dll','');
QuarantineFile('C:\DOCUME~1\Homer\LOCALS~1\Temp\Setup_ver1.1400.0.exe','');
QuarantineFile('C:\WINDOWS\system32\pmnNeCTL.dll','');
QuarantineFile('C:\WINDOWS\system32\iifecdaw.dll','');
DeleteFile('C:\WINDOWS\system32\iifecdaw.dll');
DeleteFile('C:\WINDOWS\system32\pmnNeCTL.dll');
DeleteFile('pmnNeCTL.dll');
DeleteFile('C:\WINDOWS\system32\dowqfntm.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=26917
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Повторите логи.
Junior Member
Вес репутации
60
Вложения
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{812AE34E-162C-4C94-BAA1-A2C0431AEC84}');
QuarantineFile('C:\WINDOWS\kgxmotapktx.dll','');
DelBHO('{769D8280-A207-4EEA-9963-F8B156C32855}');
QuarantineFile('C:\WINDOWS\system32\pmnNeCTL.dll','');
DelBHO('{1DEB1F3C-0961-4E79-9C39-C606D043408C}');
QuarantineFile('C:\WINDOWS\system32\iifecdaw.dll','');
QuarantineFile('C:\WINDOWS\kvxqmtre.dll','');
QuarantineFile('C:\WINDOWS\evgratsm.dll','');
DeleteFile('C:\WINDOWS\evgratsm.dll');
DeleteFile('C:\WINDOWS\kvxqmtre.dll');
DeleteFile('C:\WINDOWS\system32\iifecdaw.dll');
DeleteFile('C:\WINDOWS\system32\pmnNeCTL.dll');
DeleteFile('C:\WINDOWS\kgxmotapktx.dll');
DeleteFile('C:\WINDOWS\system32\anfxjied.dll');
DeleteFile('C:\WINDOWS\system32\bylirusn.dll');
DeleteFile('C:\WINDOWS\system32\dqdwhhmc.dll');
DeleteFile('C:\WINDOWS\system32\gcnbdtud.dll');
DeleteFile('C:\WINDOWS\system32\mfjeewpn.dll');
DeleteFile('C:\WINDOWS\system32\ngysjbts.dll');
DeleteFile('C:\DOCUME~1\Homer\LOCALS~1\Temp\Setup_ver1.1400.0.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
По первому карантину
dowqfntm.dll - not-a-virus:AdWare.Win32.Virtumonde.abm , evgratsm.dll - Trojan.Win32.Vapsup.ixq , pmnNeCTL.dll - Trojan.Win32.Monderb.aas , iifecdaw.dll - not-a-virus:AdWare.Win32.Virtumonde.abr
Junior Member
Вес репутации
60
Вложения
пофиксите ...
Код:
O20 - Winlogon Notify: pmnNeCTL - C:\WINDOWS\
больше ничего плохого ....
Junior Member
Вес репутации
60
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 6 В ходе лечения обнаружены вредоносные программы:
c:\\windows\\evgratsm.dll - Trojan.Win32.Vapsup.ixq (DrWEB: Trojan.Popuper.7165) c:\\windows\\kgxmotapktx.dll - Trojan.Win32.Vapsup.jbi (DrWEB: Trojan.Popuper.7165) c:\\windows\\system32\\dowqfntm.dll - not-a-virus:AdWare.Win32.Virtumonde.abmm (DrWEB: Trojan.Virtumod.365) c:\\windows\\system32\\iifecdaw.dll - not-a-virus:AdWare.Win32.Virtumonde.abrq (DrWEB: Trojan.Virtumod.based.1 c:\\windows\\system32\\pmnnectl.dll - Trojan.Win32.Monderb.aas (DrWEB: Trojan.Virtumod.460)