Win32/Adware.Virtumonde.NEO
Обновил НОД32 (3.0.667.0) сразу же всплыло окошко -
Объект С:\WINDOWS\system32\iihponnn.ini
Угроза Win32/Adware.Virtumonde.NEO приложение
очищен удалением - изолирован
И это окошко зацикливается... Снимал винт, проверял на другом компьютере, нашел, вылечил. Не помогло. Заранее спасибо.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsfile; QuarantineFile('C:\Documents and Settings\Alexey\Local Settings\Application Data\Microsoft\OFFICE\Alerts\WatsonAlertHelp.htm',''); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); QuarantineFile('C:\WINDOWS\system32\xxyvtQhf.dll',''); DelBHO('{D3CAE647-C9BB-4BEF-AF0C-97BD70278970}'); DelBHO('{31c111b1-b42f-4f0c-bc6b-eea9e561593f}'); DelBHO('{1FE1157E-CD93-47DC-82A5-E2B33C6ECBCA}'); QuarantineFile('C:\WINDOWS\system32\cjaxuj.dll',''); DeleteService('Winxt77'); DeleteService('Winxt55'); DeleteService('Winxm55'); DeleteService('Winww33'); DeleteService('Winvt77'); DeleteService('Winvm55'); DeleteService('Winuu88'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlq44.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winpi77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winsd22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winug11.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winug33.sys',''); DeleteService('Winug33'); DeleteService('Winug11'); DeleteService('Winsd22'); DeleteService('Winpi77'); DeleteService('Winlq44'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlc66.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winle88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winlj88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winll00.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winll77.sys',''); DeleteService('Winll77'); DeleteService('Winll00'); DeleteService('Winlj88'); DeleteService('Winle88'); DeleteService('Winlc66'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winig66.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winiw00.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winiw22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winkk00.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winla77.sys',''); DeleteService('Winla77'); DeleteService('Winkk00'); DeleteService('Winiw22'); DeleteService('Winiw00'); DeleteService('Winig66'); DeleteService('Winhm88'); DeleteService('Winhh88'); DeleteService('Winfv22'); DeleteService('Wingn33'); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhm88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winhh88.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Wingn33.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winfv22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winen77.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Winee22.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\Windr77.sys',''); DeleteService('Winen77'); DeleteService('Winee22'); DeleteService('Windr77'); QuarantineFile('C:\WINDOWS\System32\Drivers\Windd00.sys',''); DeleteService('Windd00'); DeleteService('WZCSVCSENS'); DeleteService('SENSBrowser'); DeleteService('MessengerRDSessMgr'); DeleteService('ERSvcseclogon'); DeleteService('dmadminEventSystem'); QuarantineFile('C:\WINDOWS\system32\nnnoPhii.dll',''); DeleteFile('C:\WINDOWS\system32\nnnoPhii.dll'); DeleteFile('C:\WINDOWS\System32\Drivers\Windd00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Windr77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winee22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winen77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winfv22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Wingn33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhh88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winhm88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winla77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winkk00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winiw22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winiw00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winig66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winll77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winll00.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlj88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winle88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlc66.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winug33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winug11.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winsd22.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winpi77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winlq44.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winuu88.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvm55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winvt77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winww33.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxt77.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxt55.sys'); DeleteFile('C:\WINDOWS\System32\Drivers\Winxm55.sys'); DeleteFile('C:\WINDOWS\system32\cjaxuj.dll'); DeleteFile('C:\WINDOWS\system32\xxyvtQhf.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=43401
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Выполнил скрипт. Нод больше не ругается. Карантин выслал, логи прикладываю. Спасибо.
"Пофиксите" в HijackThis
В AVZ -> файл-> Выполнить скриптКод:O2 - BHO: (no name) - {4091E1A8-BE63-43A7-A328-846CA9270FEA} - C:\WINDOWS\system32\nnnoPhii.dll (file missing) O20 - Winlogon Notify: rqRjKBrs - C:\WINDOWS\ O20 - Winlogon Notify: WinCtrl32 - C:\WINDOWS\ O20 - Winlogon Notify: __c00A94CD - C:\WINDOWS\
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DelCLSID('{44c0c633-86ff-419e-982e-eb5df1a71abb}'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{4091E1A8-BE63-43A7-A328-846CA9270FEA}'); DeleteFile('srv.exe'); DeleteFile('C:\WINDOWS\system32\nnnoPhii.dll'); DeleteFile('C:\WINDOWS\system32\cjaxuj.dll'); BC_ImportDeletedList; BC_DeleteSvc('WZCSVCSENS'); BC_DeleteSvc('SENSBrowser'); BC_DeleteSvc('MessengerRDSessMgr'); BC_DeleteSvc('ERSvcseclogon'); BC_DeleteSvc('dmadminEventSystem'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Повторите пункты 2 и 3 диагностики.
Это ваше?
Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 1.2.3.1:8080
Пофиксил, скрипт выполнил. Настройки прокси были.Убрал.
Согласно пункта 2 и 3 выкладываю логи. Спасибо.
Что с проблемами?
Устнановите Internet Explorer 8.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\nnnophii.dll - not-a-virus:AdWare.Win32.Virtumonde.avsh ( DrWEB: Trojan.Virtumod.855, BitDefender: Trojan.Vundo.Gen.3 )
Уважаемый(ая) Devil4enok, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
