Показано с 1 по 20 из 20.

Не удаляется AdvWare.Win32.Virtumonde.cz (заявка № 6301)

  1. #1
    Базич
    Guest

    Не удаляется AdvWare.Win32.Virtumonde.cz

    Однажды, после отключения фаервола пробрались вируса на компьютер, всех вылечил, а AdvWare.Win32.Virtumonde.cz не могу
    ДрВэб после сканирования пишет "Будет излечен после перезагрузки" и так постоянно.
    Файл ddcccdc.dll постоянно лезет в процессы используемых программ, об этом меня информирует фаервол, и отрубет этим приложениям доступ в сеть.
    У этого контейнера были хвасты aw1.exe, aw2.exe, aw3.exe, которые я успешно прибил руками и ДрВэбом, сам исполняемый фаил живет больше вроде не плодит хвостов но постоянно лезет в процессы.
    Прошу помочь избавиться от этои заразы

    логи :
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Базич
    Однажды, после отключения фаервола пробрались вируса на компьютер, всех вылечил, а AdvWare.Win32.Virtumonde.cz не могу
    ДрВэб после сканирования пишет "Будет излечен после перезагрузки" и так постоянно.
    Файл ddcccdc.dll постоянно лезет в процессы используемых программ, об этом меня информирует фаервол, и отрубет этим приложениям доступ в сеть.
    У этого контейнера были хвасты aw1.exe, aw2.exe, aw3.exe, которые я успешно прибил руками и ДрВэбом, сам исполняемый фаил живет больше вроде не плодит хвостов но постоянно лезет в процессы.
    Прошу помочь избавиться от этои заразы

    логи :
    пофиксите в HijackThis следующие строки:
    R3 - URLSearchHook: DeskbarBHO - {A8B28872-3324-4CD2-8AA3-7D555C872D96} - C:\Program Files\Deskbar\deskbar.dll (file missing)
    O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
    O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\QmFaSWNI\command.exe (file missing)
    O23 - Service: Network Monitor - Unknown owner - C:\Program Files\Network Monitor\netmon.exe (file missing)
    O23 - Service: Win32Sr - Unknown owner - C:\WINDOWS\win32ssr.exe (file missing)

    пришлите по правилам форума файлы (искать из AVZ):
    C:\Program Files\Globe Software\StatBar\StatBar.exe
    C:\WINDOWS\UpdReg.EXE
    C:\Program Files\Deskbar\deskbar.dll
    C:\WINDOWS\win32ssr.exe
    c:\windows\system32\cthelper.exe
    c:\program files\opera 9 beta\opera.exe
    C:\WINDOWS\system32\ddcccdc.dll
    C:\WINDOWS\System32\fxsfeaxt.dll
    C:\WINDOWS\System32\sstqn.dll
    C:\WINDOWS\system32\guard.tmp
    hhs32.pif
    C:\WINDOWS\system32\dhkquoui.dll
    C:\WINDOWS\system32\flifs.dll
    C:\WINDOWS\system32\kadit142.dll

  4. #3
    Базич
    Guest
    C:\Program Files\Globe Software\StatBar\StatBar.exe - это хорошая программа, не сторонний бар!

    Результат загрузки
    Файл сохранён как 060922_120502_virus_451409ae775ef.zip
    Размер файла 916678
    MD5 3b9165bc836578126e31fb1b044bc7bb

    Файл закачан, спасибо!

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    В докторе Web`e - зайдите в настройки спайдера, найдите опцию "Режим проверки" переключите с "Оптимальной" на "Другие" -> "Запуск и открытие" и "Создание и запись" перезагрузитесь, верните назад на "оптимальный" и повторите 2 последних лога из правил, посмотрим кто из "тараканов" после этого выживет.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    по DrWeb
    C:\WINDOWS\System32\fxsfeaxt.dll - Adware.Duncan
    C:\WINDOWS\System32\sstqn.dll - Trojan.Virtumod
    C:\WINDOWS\system32\ddcccdc.dll - Trojan.Virtumod

    AntiVir Found Trojan/Vundo.Gen, Trojan/BHO.G
    ArcaVir Found Adware.Vundo.A2
    Avast Found nothing
    AVG Antivirus Found nothing
    BitDefender Found Trojan.Downloader.ConHook.AB
    ClamAV Found nothing
    Dr.Web Found Trojan.Virtumod, Adware.Duncan
    F-Prot Antivirus Found nothing
    Fortinet Found PossibleThreat!0618
    Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.cz
    NOD32 Found Win32/Adware.Virtumonde application
    Norman Virus Control Found W32/Virtumonde.RD, W32/Vundo.gen1
    UNA Found nothing
    VirusBuster Found nothing
    VBA32 Found Trojan.Virtumod

    C:\WINDOWS\system32\kadit142.dll - не добавился в карантин.

  7. #6
    Базич
    Guest

    Exclamation

    Цитата Сообщение от RiC
    В докторе Web`e - зайдите в настройки спайдера, найдите опцию "Режим проверки" переключите с "Оптимальной" на "Другие" -> "Запуск и открытие" и "Создание и запись" перезагрузитесь, верните назад на "оптимальный" и повторите 2 последних лога из правил, посмотрим кто из "тараканов" после этого выживет.
    После перезагрузки рабочий стол не загрузился просто обоина и курсор,подождал минут 5 ничего не произошло, на горячие клавиши win+r, ctrl+alt+del тоже не реагровал, перегрузил снова, ввел пароль от учетнои записи и комп повис на словах "загрузка личных параметров" и так три раза, после загрузился в безопасном режиме зупустил настроику спайдер гуарда и вернул все на место, винда и рабочий стол успешно загрузились.

    что сделать дальше ??


    интересно
    переключите с "Оптимальной" на "Другие" -> "Запуск и открытие" и "Создание и запись" перезагрузитесь
    это сработало?
    делать повторное сканирование и выкладывать логи ?

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Судя по поведению системы, переключение режима имело место быть. Интересно в лог Спайдера глянуть, чем он там систему грузил и с кем воевал.
    Давайте новые логи.

  9. #8
    Базич
    Guest
    Цитата Сообщение от Shu_b
    C:\WINDOWS\system32\kadit142.dll - не добавился в карантин.
    как видно из карантина он добавился, но имеет нулевой размер .
    скрин карантина AVZ прикрепляю
    Изображения Изображения

  10. #9
    Базич
    Guest
    Цитата Сообщение от pig
    Судя по поведению системы, переключение режима имело место быть. Интересно в лог Спайдера глянуть, чем он там систему грузил и с кем воевал.
    Давайте новые логи.
    откуда выдернуть лог СпайдерГуарда ?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    571
    Цитата Сообщение от Базич
    делать повторное сканирование и выкладывать логи ?
    Просканировать можете только каталог Windows, сделайте только 2-й лог AVZ, первый больше не нужен, Hijack перед тем как сделать лог переименуйте во что-нибудь - к примеру Test.exe
    Лог гварда можно найти в каталоге c:\Document and setting\{Ваше имя пользователя}\DoctorWeb\spidernt.log (или spider.log)

  12. #11
    Базич
    Guest
    Цитата Сообщение от RiC
    Просканировать можете только каталог Windows, сделайте только 2-й лог AVZ, первый больше не нужен, Hijack перед тем как сделать лог переименуйте во что-нибудь - к примеру Test.exe
    вот второи лог
    Вложения Вложения

  13. #12
    Базич
    Guest
    Цитата Сообщение от RiC
    Лог гварда можно найти в каталоге c:\Document and setting\{Ваше имя пользователя}\DoctorWeb\spidernt.log (или spider.log)
    к сожалению лога спайдергуарда там не оказалось, только дрвэб скангера и утелиты кури ит

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    М-да, гадюшник еще тот.
    Проще всего это чистить CureIt-ом (обязательно свежескачанным), но загрузившись с внешнего носителя.

    После перевода спайдера в режим надо было просто подождать дольше, 5 минут - очень мало.
    Файлы:
    C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\CmdLineExt02.dll
    C:\WINDOWS\system32\ddcccdc.dll
    C:\WINDOWS\System32\fxsfeaxt.dll
    C:\WINDOWS\System32\sstqn.dll
    C:\WINDOWS\System32\Drivers\DbgMsg.sys (если SoftICE не стоит)
    C:\WINDOWS\system32\guard.tmp
    hhs32.pif
    C:\WINDOWS\system32\flifs.dll

    hhs32.pif найти поиском.

  15. #14
    Базич
    Guest
    Цитата Сообщение от Alexey P.
    М-да, гадюшник еще тот.
    Проще всего это чистить CureIt-ом (обязательно свежескачанным), но загрузившись с внешнего носителя.

    После перевода спайдера в режим надо было просто подождать дольше, 5 минут - очень мало.
    завтра попробую подождать больше времени

  16. #15
    Базич
    Guest
    Цитата Сообщение от Alexey P.
    Файлы:
    C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\CmdLineExt02.dll
    C:\WINDOWS\system32\ddcccdc.dll
    C:\WINDOWS\System32\fxsfeaxt.dll
    C:\WINDOWS\System32\sstqn.dll
    C:\WINDOWS\System32\Drivers\DbgMsg.sys (если SoftICE не стоит) \ у меня точно не стоит SoftICE
    C:\WINDOWS\system32\guard.tmp
    hhs32.pif
    C:\WINDOWS\system32\flifs.dll

    hhs32.pif найти поиском.
    так что с этими фаилами сдеалать ?

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    Цитата Сообщение от Базич
    так что с этими фаилами сдеалать ?
    найти их (используя AVZ с включенным противодействием руткитам), скопировать в карантин и прислать нам по правилам форума.

  18. #17
    Базич
    Guest
    Результат загрузки
    Файл сохранён как 060923_044807_virus_4514f4c728f04.zip
    Размер файла 629256
    MD5 2bf877c7e47b02c2e679167c24f4c7ba

    Файл закачан, спасибо!
    hhs32.pif не найден

  19. #18
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Базич
    откуда выдернуть лог СпайдерГуарда ?
    SPIDER.log или SPIDERNT.log в той папке, где установлен Доктор. По умолчанию - \Program Files\Doctor Web\, если я правильно помню. У меня он исторически живёт в другом месте. Ещё со времён DOS.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    получены файлы от 23 числа.

    C:\WINDOWS\system32\flifs.dll не добавился.

    C:\WINDOWS\System32\Drivers\DbgMsg.sys - действительно от NuMega, если их софта у Вас на компьютере нет, то файл можно удалить

    Все остальные присланные файлы также можно спокойно удалить:
    C:\WINDOWS\system32\ddcccdc.dll - AdWare.Win32.Virtumonde.de (по Касперскому)
    C:\WINDOWS\System32\fxsfeaxt.dll,
    C:\WINDOWS\System32\sstqn.dll - новые версии, еще Касперским не детектируются

    Также удалите все строки, содержащие имена этих файлов, в "Диспетчере процессов" , "Менеджере автозапуска" и других менеджерах программы AVZ.

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Лучше найти эти файлы поиском в AVZ и удалить оттуда. Он умеет еще и систему чистить от следов, это лучше.

    Если не получится, используйте для их удаления Avenger
    Скрипт для удаления может быть таким (если какие-то файлы уже удалите через AVZ, их уже сюда не надо. Хотя и вреда от несуществующих файлов в скрипте не будет):
    Код:
    Files to delete:
    C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\CmdLineExt02.dll
    C:\WINDOWS\system32\ddcccdc.dll
    C:\WINDOWS\System32\fxsfeaxt.dll
    C:\WINDOWS\System32\sstqn.dll
    C:\WINDOWS\System32\Drivers\DbgMsg.sys
    C:\WINDOWS\system32\guard.tmp
    C:\WINDOWS\system32\flifs.dll
    И стоит почистить всё в
    C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\
    и тут - при закрытом IE удалите все вложенные директории:
    C:\DOCUME~1\BaZIcH\LOCALS~1\Temporary Internet Files\

    На будущее - лучше не используйте IE, Вы притащили заразу именно им. Намного безопаснее любой другой приличный браузер, та же Опера или Firefox, привыкнуть к ним недолго.

  • Уважаемый(ая) Базич, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. AdvWare.Win32.BHO.bco
      От unforgivn в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 07:02
    2. Не удаляется win32/adware.Virtumonde
      От Laime в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 06:14
    3. Подозрение на AdvWare.Win32.BHO.bw
      От tsigura в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 22.02.2009, 04:49
    4. AdvWare.Win32.SaveNow.by
      От ayf в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 19.10.2008, 00:24
    5. утилита AVZ выявила AdvWare.Win32.Virtumonde.clk
      От lialeja в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 18.01.2008, 00:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00032 seconds with 18 queries