-
Junior Member
- Вес репутации
- 56
Нод ругается Win32/Adware.Virtumonde в файле \system32\mlJYrsss.dll
Нод ругается постоянно:
"Защита файловой системы в режиме реального времени файл C:\WINDOWS\system32\mlJYrsss.dll Win32/Adware.Virtumonde приложение очищен удалением (после следующего перезапуска) - изолирован NT AUTHORITY\SYSTEM Событие произошло при попытке доступа к файлу следующим приложением: \??\C:\WINDOWS\system32\winlogon.exe.,
И предлагает перегрузиться чтобы удалить файл, после перезагрузки опять тоже самое.
Win XP pro 3SP, Nod 32 3.0669 базы свежие, поставил на винду недавно заплатку KB958644.
Проскани в безопасном режиме cureit нашел эту же вирусню, типа удалил, но в обычном режиме опять выскочил.
Всегда решал самостоятельно такие задачи, вот решил обратиться к профессионалам. Заранее спасибо.
Выкладываю логи.
Вложение 104902
Вложение 104903
Вложение 104904
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 56
Вложение 104911вот добали картинку для наглядности.
-
1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{1A75F101-126E-46A3-97B1-91A96D161C15}');
DelBHO('{C6CE104D-CC1F-4070-A774-0B8E5C6634B9}');
DelBHO('{f9593e42-efc9-4edd-9560-29619d409eca}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
QuarantineFile('C:\WINDOWS\system32\cirkvyud.dll','');
QuarantineFile('C:\WINDOWS\system32\ddjver.dll','');
QuarantineFile('C:\WINDOWS\system32\efcBrQGV.dll','');
QuarantineFile('C:\WINDOWS\system32\kvrlpnbd.dll','');
QuarantineFile('C:\WINDOWS\system32\mlJYrsss.dll','');
QuarantineFile('C:\WINDOWS\System32\msfxct.dll','');
DeleteFile('C:\WINDOWS\system32\cirkvyud.dll');
DeleteFile('C:\WINDOWS\system32\ddjver.dll');
DeleteFile('C:\WINDOWS\system32\efcBrQGV.dll');
DeleteFile('C:\WINDOWS\system32\kvrlpnbd.dll');
DeleteFile('C:\WINDOWS\system32\mlJYrsss.dll');
DeleteFile('C:\WINDOWS\System32\msfxct.dll');
DelWinlogonNotifyByKeyName('mlJYrsss');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=37943
3. Повторите логи.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
При выполнении скрипта написало Invalid data type"
Комп не перегрузился, перестали запускаться приложения, AVZ не выключался. Перегрузил вручную, при загрузке рабочего стола выдало
Заголовок RUNDLL
Содержание - Ошибка при загрузке C:\Windows\system32\cirkvyud.dll
Не найден указаный модуль.
Что делать дальше?
-
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
-
Пофиксите в HijackThis:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: (no name) - {1A75F101-126E-46A3-97B1-91A96D161C15} - C:\WINDOWS\system32\mlJYrsss.dll (file missing)
O2 - BHO: (no name) - {9E18FA5B-F8DC-488D-B7D3-82A346B56068} - C:\WINDOWS\system32\efcBrQGV.dll (file missing)
O4 - HKLM\..\Run: [40a7f4a5] rundll32.exe "C:\WINDOWS\system32\cirkvyud.dll",b
O20 - AppInit_DLLs: ddjver.dll
O20 - Winlogon Notify: mlJYrsss - C:\WINDOWS\
Перезагрузитесь. Ошибка должна пропасть.
Повторите лог HijackThis.
Сердце решает кого любить... Судьба решает с кем быть...
-
-
Junior Member
- Вес репутации
- 56
выложил лог, сейчас перегружусь, посмотрю на ошибку. Вложение 105057
Перегрузился. Ошибка исчезла, пока все в норме, погоняю часик, посмотрю на поведение. отпишусь. Спасибо.
-
Junior Member
- Вес репутации
- 56
Пока все ок. СПАСИБО БОЛЬШОЕ!!!
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-