Однажды, после отключения фаервола пробрались вируса на компьютер, всех вылечил, а AdvWare.Win32.Virtumonde.cz не могу ДрВэб после сканирования пишет "Будет излечен после перезагрузки" и так постоянно.
Файл ddcccdc.dll постоянно лезет в процессы используемых программ, об этом меня информирует фаервол, и отрубет этим приложениям доступ в сеть.
У этого контейнера были хвасты aw1.exe, aw2.exe, aw3.exe, которые я успешно прибил руками и ДрВэбом, сам исполняемый фаил живет больше вроде не плодит хвостов но постоянно лезет в процессы.
Прошу помочь избавиться от этои заразы
логи :
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Однажды, после отключения фаервола пробрались вируса на компьютер, всех вылечил, а AdvWare.Win32.Virtumonde.cz не могу ДрВэб после сканирования пишет "Будет излечен после перезагрузки" и так постоянно.
Файл ddcccdc.dll постоянно лезет в процессы используемых программ, об этом меня информирует фаервол, и отрубет этим приложениям доступ в сеть.
У этого контейнера были хвасты aw1.exe, aw2.exe, aw3.exe, которые я успешно прибил руками и ДрВэбом, сам исполняемый фаил живет больше вроде не плодит хвостов но постоянно лезет в процессы.
Прошу помочь избавиться от этои заразы
В докторе Web`e - зайдите в настройки спайдера, найдите опцию "Режим проверки" переключите с "Оптимальной" на "Другие" -> "Запуск и открытие" и "Создание и запись" перезагрузитесь, верните назад на "оптимальный" и повторите 2 последних лога из правил, посмотрим кто из "тараканов" после этого выживет.
AntiVir Found Trojan/Vundo.Gen, Trojan/BHO.G
ArcaVir Found Adware.Vundo.A2
Avast Found nothing
AVG Antivirus Found nothing
BitDefender Found Trojan.Downloader.ConHook.AB
ClamAV Found nothing
Dr.Web Found Trojan.Virtumod, Adware.Duncan
F-Prot Antivirus Found nothing
Fortinet Found PossibleThreat!0618
Kaspersky Anti-Virus Found not-a-virus:AdWare.Win32.Virtumonde.cz
NOD32 Found Win32/Adware.Virtumonde application
Norman Virus Control Found W32/Virtumonde.RD, W32/Vundo.gen1
UNA Found nothing
VirusBuster Found nothing
VBA32 Found Trojan.Virtumod
C:\WINDOWS\system32\kadit142.dll - не добавился в карантин.
В докторе Web`e - зайдите в настройки спайдера, найдите опцию "Режим проверки" переключите с "Оптимальной" на "Другие" -> "Запуск и открытие" и "Создание и запись" перезагрузитесь, верните назад на "оптимальный" и повторите 2 последних лога из правил, посмотрим кто из "тараканов" после этого выживет.
После перезагрузки рабочий стол не загрузился просто обоина и курсор,подождал минут 5 ничего не произошло, на горячие клавиши win+r, ctrl+alt+del тоже не реагровал, перегрузил снова, ввел пароль от учетнои записи и комп повис на словах "загрузка личных параметров" и так три раза, после загрузился в безопасном режиме зупустил настроику спайдер гуарда и вернул все на место, винда и рабочий стол успешно загрузились.
что сделать дальше ??
интересно
переключите с "Оптимальной" на "Другие" -> "Запуск и открытие" и "Создание и запись" перезагрузитесь
это сработало?
делать повторное сканирование и выкладывать логи ?
Судя по поведению системы, переключение режима имело место быть. Интересно в лог Спайдера глянуть, чем он там систему грузил и с кем воевал.
Давайте новые логи.
Судя по поведению системы, переключение режима имело место быть. Интересно в лог Спайдера глянуть, чем он там систему грузил и с кем воевал.
Давайте новые логи.
делать повторное сканирование и выкладывать логи ?
Просканировать можете только каталог Windows, сделайте только 2-й лог AVZ, первый больше не нужен, Hijack перед тем как сделать лог переименуйте во что-нибудь - к примеру Test.exe
Лог гварда можно найти в каталоге c:\Document and setting\{Ваше имя пользователя}\DoctorWeb\spidernt.log (или spider.log)
Просканировать можете только каталог Windows, сделайте только 2-й лог AVZ, первый больше не нужен, Hijack перед тем как сделать лог переименуйте во что-нибудь - к примеру Test.exe
М-да, гадюшник еще тот.
Проще всего это чистить CureIt-ом (обязательно свежескачанным), но загрузившись с внешнего носителя.
После перевода спайдера в режим надо было просто подождать дольше, 5 минут - очень мало.
Файлы:
C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\CmdLineExt02.dll
C:\WINDOWS\system32\ddcccdc.dll
C:\WINDOWS\System32\fxsfeaxt.dll
C:\WINDOWS\System32\sstqn.dll
C:\WINDOWS\System32\Drivers\DbgMsg.sys (если SoftICE не стоит)
C:\WINDOWS\system32\guard.tmp
hhs32.pif
C:\WINDOWS\system32\flifs.dll
Файлы:
C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\CmdLineExt02.dll
C:\WINDOWS\system32\ddcccdc.dll
C:\WINDOWS\System32\fxsfeaxt.dll
C:\WINDOWS\System32\sstqn.dll
C:\WINDOWS\System32\Drivers\DbgMsg.sys (если SoftICE не стоит) \ у меня точно не стоит SoftICE
C:\WINDOWS\system32\guard.tmp
hhs32.pif
C:\WINDOWS\system32\flifs.dll
SPIDER.log или SPIDERNT.log в той папке, где установлен Доктор. По умолчанию - \Program Files\Doctor Web\, если я правильно помню. У меня он исторически живёт в другом месте. Ещё со времён DOS.
C:\WINDOWS\System32\Drivers\DbgMsg.sys - действительно от NuMega, если их софта у Вас на компьютере нет, то файл можно удалить
Все остальные присланные файлы также можно спокойно удалить:
C:\WINDOWS\system32\ddcccdc.dll - AdWare.Win32.Virtumonde.de (по Касперскому)
C:\WINDOWS\System32\fxsfeaxt.dll,
C:\WINDOWS\System32\sstqn.dll - новые версии, еще Касперским не детектируются
Также удалите все строки, содержащие имена этих файлов, в "Диспетчере процессов" , "Менеджере автозапуска" и других менеджерах программы AVZ.
Лучше найти эти файлы поиском в AVZ и удалить оттуда. Он умеет еще и систему чистить от следов, это лучше.
Если не получится, используйте для их удаления Avenger
Скрипт для удаления может быть таким (если какие-то файлы уже удалите через AVZ, их уже сюда не надо. Хотя и вреда от несуществующих файлов в скрипте не будет):
Код:
Files to delete:
C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\CmdLineExt02.dll
C:\WINDOWS\system32\ddcccdc.dll
C:\WINDOWS\System32\fxsfeaxt.dll
C:\WINDOWS\System32\sstqn.dll
C:\WINDOWS\System32\Drivers\DbgMsg.sys
C:\WINDOWS\system32\guard.tmp
C:\WINDOWS\system32\flifs.dll
И стоит почистить всё в
C:\DOCUME~1\BaZIcH\LOCALS~1\Temp\
и тут - при закрытом IE удалите все вложенные директории:
C:\DOCUME~1\BaZIcH\LOCALS~1\Temporary Internet Files\
На будущее - лучше не используйте IE, Вы притащили заразу именно им. Намного безопаснее любой другой приличный браузер, та же Опера или Firefox, привыкнуть к ним недолго.
Уважаемый(ая) Базич, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: