Помогите побороть Virtumod
Люди добрые!
Помогите убить злого Virtumoda.0
Гад распознается NOD32, но им не удаляется и не чистится.
AVZ зараженный файл не распознает.
При попытке удалить AVZ или отложенно удалить им же, опять ничего не получается. Зараженный файл jkhii.dll все равно остается.
Последний раз редактировалось leha72; 07.03.2007 в 20:49.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Выполните скрипт, содержимое карантина пришлите по правиламКод:begin QuarantineFile('D:\WINDOWS\system32\stmadsl.cpl',''); QuarantineFile('D:\WINDOWS\system32\kaclayaf.dll',''); QuarantineFile('D:\WINDOWS\system32\jguyswyr.dll',''); QuarantineFile('D:\WINDOWS\system32\stmctrl.dll',''); QuarantineFile('D:\WINDOWS\system32\jkhff.dll',''); QuarantineFile('D:\WINDOWS\system32\jguyswyr.dll',''); QuarantineFile('D:\WINDOWS\system32\gebcyab.dll',''); end.
Уважаемый Gesser!
шлю карантин, как Вы просили
По присланным файлам:
D:\WINDOWS\system32\gebcyab.dll - Trojan.Virtumod
D:\WINDOWS\system32\jguyswyr.dll - Trojan.Virtumod
И похоже, не вредосносные:
D:\WINDOWS\system32\stmctrl.dll
D:\WINDOWS\system32\stmadsl.cpl
Рекомендаций по лечению дать не могу в связи с отсутствием логов.
удалил их для экономии места,
(думал что это поможет уместить карантин...)
Для лечения необходимо скачать новую версию AVZ 4.24
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\gebcyab.dll'); DeleteFile('D:\WINDOWS\system32\jguyswyr.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_QrFile('D:\WINDOWS\system32\jkhff.dll'); BC_DeleteFile('D:\WINDOWS\system32\jkhff.dll'); BC_LogFile(GetAVZDirectory + 'boot_clr.log'); BC_Activate; RebootWindows(True); end.
Загрузите файл D:\WINDOWS\system32\jkhff.dll из карантина AVZ.
Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме вместе с файлом boot_clr.log из папки AVZ.
Уважаемый АндрейКа!
Сделал все как Вы просили.
Вашу просьбу Загрузить файл D:\WINDOWS\system32\jkhff.dll из карантина AVZ, понял как восстановить файл из карантина.
Если ошибся, прошу извинить и проинструктировать.
Спасибо огромное за Ваше время и готовность помочь!!!
Под "загрузить" я имел ввиду - прислать через форму: http://virusinfo.info/upload_virus.php?tid=8292
PS.
Пофиксте в HijackThis следующие строки:
PPS Так файл jkhff.dll в карантин попал или нет?O2 - BHO: (no name) - {2D81C3CA-5A42-4D14-B119-CCFD483CAE09} - D:\WINDOWS\system32\gebcyab.dll (file missing)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: (no name) - {C44D59B3-696B-4C65-BF36-87778B7EEC20} - D:\WINDOWS\system32\jkhff.dll (file missing)
O2 - BHO: (no name) - {E03C740E-BB24-4d3c-B92A-6F84DE1DD99C} - (no file)
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINDOWS\system32\kaclayaf.dll",setvm
O20 - AppInit_DLLs: Нsockspy.dll
O20 - Winlogon Notify: gebcyab - gebcyab.dll (file missing)
O20 - Winlogon Notify: jkhff - D:\WINDOWS\system32\jkhff.dll (file missing)
O20 - Winlogon Notify: jkhff- - D:\WINDOWS\
Последний раз редактировалось AndreyKa; 09.03.2007 в 21:46. Причина: PPS
Он попал в карантин.
Загрузил.
Профиксил.
Что дальше?
Зделайте два последних лога из правил, для контроля.
Вирус себя не проявляет.
NOD32 не обнаруживает заразу в оперативной памяти.
Надеюсь, что с Вашей помощью, добрые люди, удалось уничтожить Virtumonda.0
Спасибо огромное!
Осталась одна строка (наверное пропустили):
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "D:\WINDOWS\system32\kaclayaf.dll",setvm
Пофиксите ее еще раз.
Вы можете нам помочь в дальнейшей борьбе с заразой.
Если у вас нет проблем с Интернет трафиком, то выполните, пожалуйста, процедуру описанную здесь: http://virusinfo.info/showthread.php?t=3519
Не забудьте при этом закрыть все программы, которые вы запустили сами.
Строчку профиксить не забыл, а профиксил другую.
Это плохо?
С удовольствием помогу в дальнейшей борьбе с заразой.
Спасибо огромное Вам, Гесеру и Муффлеру, а также всем борцам за чистый интернет.
Смотря что пофиксилиСтрочку профиксить не забыл, а профиксил другую.
Это плохо?
У HijackThis есть возможность отмены. Запустите его и нажмите кнопку View the list of buckups. Отметьте то, что хотите вернуть и нажмите кнопку Restore.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\system32\\gebcyab.dll - not-a-virus:AdWare.Win32.Virtumonde.gl (DrWEB: Trojan.Virtumod)
- d:\\windows\\system32\\jguyswyr.dll - not-a-virus:AdWare.Win32.Virtumonde.hb (DrWEB: BackDoor.Iterator)
Уважаемый(ая) leha72, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
