Junior Member
Вес репутации
57
Win32/Adware.Virtumonde Application [system32]
Nod32 находит вирус:
Object:
C:\WINDOWS\system32\hgGYSKAR.dll
Threat:
Win32/Adware.Virtumonde Application
Information:
cleaned by deleting (after the next restart) - quarantined.
Nod32 и AVPTool не могут ни исправить ни удалить. Вручную тоже не удаляются. В безопасном режиме - безрезультатно. Файл заблокирован т.к. участвует в системном процессе.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DelBHO('{67C23F2C-BA99-4DB2-868A-DBC811B8AB13}');
DelBHO('{3108e7d7-b2c3-46e2-a2c2-2169742f0686}');
QuarantineFile('C:\WINDOWS\system32\hgGYSKAR.dll','');
QuarantineFile('C:\WINDOWS\system32\nnnmkLeC.dll','');
QuarantineFile('C:\WINDOWS\system32\xnyjkv.dll','');
DeleteFile('C:\WINDOWS\system32\xnyjkv.dll');
DeleteFile('C:\WINDOWS\system32\nnnmkLeC.dll');
DeleteFile('C:\WINDOWS\system32\hgGYSKAR.dll');
DeleteFile('Files\SVCHOST.exe');
DeleteFile('Program.exe');
DeleteFile('hgGYSKAR.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
57
скрипт выполнен, файлы отправлены в соответствии с приложением 3, п.4
NOD ругается по-прежнему.
Junior Member
Вес репутации
57
AVPTool ничего не находит
Вложения
отключите антивирус !
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{b1dbf1db-de3e-4271-a49e-ae9c1f639b99}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DelBHO('{43ED917F-AF82-42FC-9F38-2B80D0EB6AA0}');
DelBHO('{40876B9C-3207-4A41-BB02-62F07D923B55}');
QuarantineFile('C:\WINDOWS\system32\nnnmkLeC.dll','');
QuarantineFile('C:\WINDOWS\system32\yqpirjef.dll','');
QuarantineFile('C:\WINDOWS\system32\wmwrxlmj.dll','');
QuarantineFile('C:\WINDOWS\system32\oypdeylf.dll','');
QuarantineFile('C:\WINDOWS\system32\hgGYSKAR.dll','');
QuarantineFile('C:\WINDOWS\system32\geBuSIBs.dll','');
QuarantineFile('C:\WINDOWS\system32\dmomfv.dll','');
QuarantineFile('C:\WINDOWS\system32\aqjecv.dll','');
DeleteFile('C:\WINDOWS\system32\aqjecv.dll');
DeleteFile('C:\WINDOWS\system32\dmomfv.dll');
DeleteFile('C:\WINDOWS\system32\geBuSIBs.dll');
DeleteFile('C:\WINDOWS\system32\hgGYSKAR.dll');
DeleteFile('C:\WINDOWS\system32\oypdeylf.dll');
DeleteFile('C:\WINDOWS\system32\wmwrxlmj.dll');
DeleteFile('C:\WINDOWS\system32\yqpirjef.dll');
DeleteFile('hgGYSKAR.dll');
DeleteFile('C:\WINDOWS\system32\nnnmkLeC.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил
повторите логи
Junior Member
Вес репутации
57
скрипт выполнен, файлы отправлены согласно приложения 3 правил
Вложения
Пофиксить
Код:
O2 - BHO: (no name) - {6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C} - C:\WINDOWS\system32\hgGYSKAR.dll (file missing)
O2 - BHO: (no name) - {9CB74C51-1CD4-425D-9125-91D2022CE42C} - C:\WINDOWS\system32\geBuSIBs.dll (file missing)
O20 - AppInit_DLLs: dmomfv.dll
O20 - Winlogon Notify: hgGYSKAR - hgGYSKAR.dll (file missing)
AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
DelBHO('{9CB74C51-1CD4-425D-9125-91D2022CE42C}');
DelBHO('{6D794CB4-C7CD-4c6f-BFDC-9B77AFBDC02C}');
DeleteFile('C:\WINDOWS\system32\hgGYSKAR.dll');
DeleteFile('dmomfv.dll');
DeleteFile('hgGYSKAR.dll');
DeleteFile('C:\WINDOWS\system32\geBuSIBs.dll');
DeleteFile('C:\WINDOWS\system32\dmomfv.bak');
DeleteFile('C:\WINDOWS\system32\geBuSIBs.bak');
DeleteFile('C:\WINDOWS\system32\nnnmkLeC.bak');
DeleteFile('C:\WINDOWS\system32\wmwrxlmj.bak');
DeleteFile('C:\WINDOWS\system32\xnyjkv.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Повторите логи...
Junior Member
Вес репутации
57
Вложения
Жалобы есть?
Установите SP3 (может потребоваться активация) + последующие обновления.
Установите ADobe Reader 9.0 или деинсталлируйте старый.
Junior Member
Вес репутации
57
Жалоб нет.
За все спасибо.
Спасибо не говорят, спасибо нажимают
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 19 В ходе лечения обнаружены вредоносные программы:
c:\windows\system32\aqjecv.dll - not-a-virus:AdWare.Win32.SuperJuan.kdv c:\windows\system32\dmomfv.dll - not-a-virus:AdWare.Win32.SuperJuan.kdv c:\windows\system32\gebusibs.dll - Trojan.Win32.Monder.bjgx c:\windows\system32\nnnmklec.bak - Trojan.Win32.Monder.bjfy (DrWEB: Trojan.Virtumod.855) c:\windows\system32\nnnmklec.dll - Trojan.Win32.Monder.bjfy (DrWEB: Trojan.Virtumod.855) c:\windows\system32\oypdeylf.dll - Trojan.Win32.Monder.bjgl c:\windows\system32\wmwrxlmj.dll - Trojan.Win32.Monder.bjgl c:\windows\system32\xnyjkv.bak - not-a-virus:AdWare.Win32.SuperJuan.kdv c:\windows\system32\xnyjkv.dll - not-a-virus:AdWare.Win32.SuperJuan.kdv c:\windows\system32\yqpirjef.dll - not-a-virus:AdWare.Win32.SuperJuan.kdv