Показано с 1 по 12 из 12.

Подозрение на инфекцию Winlogon (заявка № 8999)

  1. #1
    Junior Member Репутация
    Регистрация
    14.04.2007
    Сообщений
    6
    Вес репутации
    42

    Exclamation Подозрение на инфекцию Winlogon

    Началось все с того, что Аутпост стал предупреждать о частых изменениях, которые Винлогон делает в элементах других программ. Стали самопроизвольно открываться окна браузера.
    1. Нортон Антивирус опознал и убрал вирус Infostealer. Проблема не исчезла.

    2. Нод32 убрал

    C:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\CJ2LMQX7\Install-Errorprotector-Free[1].cab »CAB »UERT_0001_D19M2109NetInstaller.exe - модифицированный Win32/Adware.WinFixer

    C:\WINDOWS\system32\efcdayx.dll - Win32/Adware.Virtumonde

    C:\WINDOWS\system32\nnnnmkk.dll - Win32/Adware.Virtumonde

    Проблема не исчезла.

    3. drweb-cureit опознал c:\windows\system32\awvvw.dll инфицирован Trojan.Virtumod, но не лечит -(
    Прилагаю логи AVZ & hijack'a ...Что делать?
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\dibrijqe.dll','');
     QuarantineFile('C:\WINDOWS\system32\winubg32.dll','');
     QuarantineFile('C:\WINDOWS\system32\khffeby.dll','');
     QuarantineFile('C:\WINDOWS\system32\awvvw.dll','');
    RebootWindows(true);
    end.
    Прислать карантин согласно приложения 3 правил .
    Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=8999........

    P.S. удалить одного из антивирусов полностью, на вашем месте удалил бы нортона .
    Последний раз редактировалось drongo; 14.04.2007 в 18:31.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    Цитата Сообщение от Anotherworld Посмотреть сообщение

    3. drweb-cureit опознал c:\windows\system32\awvvw.dll инфицирован Trojan.Virtumod, но не лечит -(
    Лечить там нечего , надо удалить

  5. #4
    Junior Member Репутация
    Регистрация
    14.04.2007
    Сообщений
    6
    Вес репутации
    42
    Карантин отправил.
    Эти были тоже раньше, но я их стер вручную:
    WINDOWS\system32\dibrijqe.dll','');
    WINDOWS\system32\winubg32.dll','');
    WINDOWS\system32\khffeby.dll','');

    А эта штука невидима, хотя системные и скрытые файлы показываются

    \WINDOWS\system32\awvvw.dll'

  6. #5
    Junior Member Репутация
    Регистрация
    14.04.2007
    Сообщений
    6
    Вес репутации
    42
    Так, туплю. awvvw.dll нашел. Что с ним сделать: поджарить или зарезать?

  7. #6
    Junior Member Репутация
    Регистрация
    14.04.2007
    Сообщений
    6
    Вес репутации
    42
    khffeby.dll, dibrijqe.dll и awvvw.dll прописаны как надстройки IE

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,626
    Вес репутации
    1293
    C:\WINDOWS\system32\awvvw.dll - Trojan.Virtumod

    Закройте все программы.
    Запустите AVZ.
    Выполните скрипт через меню Файл:
    Код:
    begin
     SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\system32\awvvw.dll');
     DelCLSID('12D0B0C5-4069-4E37-B7B5-3197FE144D13');
     DelCLSID('67C55A8D-E808-4caa-9EA7-F77102DE0BB6');
     DelCLSID('A416D604-EAA3-4618-958C-2ECA22414616');
     DelWinlogonNotifyByFileName('winubg32.dll');
     ExecuteSysClean;
     RebootWindows(True);
    end.
    Компьютер перезагрузится.
    Сделайте новые логи начиная с 10-го пункта Правил и приложите их к своей теме.

  9. #8
    Junior Member Репутация
    Регистрация
    14.04.2007
    Сообщений
    6
    Вес репутации
    42
    Сделано. Комп повис, перезагружал резетом после лечения.

    В логе хайджэка надпись настораживает:
    O2 - BHO: (no name) - {6BBA6345-FDDE-407D-B125-1FECA2D326FC} - C:\WINDOWS\system32\awvvw.dll (file missing)

    т.е. в реестре фигня прописана еще?
    Вложения Вложения

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    а утилитой , которую советовал- запускали для удаления нортона ? что-то больно много следов осталось
    Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
    Код:
    O2 - BHO: (no name) - {6BBA6345-FDDE-407D-B125-1FECA2D326FC} - C:\WINDOWS\system32\awvvw.dll (file missing)
    
    O2 - BHO: CNavExtBho Class - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
    O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program Files\Norton AntiVirus\NavShExt.dll (file missing)
    O20 - Winlogon Notify: winubg32 - winubg32.dll (file missing)
    O20 - Winlogon Notify: awvvw - C:\WINDOWS\
    O23 - Service: Norton Unerase Protection (NProtectService) - Unknown owner - C:\Program Files\Norton AntiVirus\AdvTools\NPROTECT.EXE (file missing)

  11. #10
    Junior Member Репутация
    Регистрация
    14.04.2007
    Сообщений
    6
    Вес репутации
    42
    Спасибо, вроде бы нет их - отфиксились, упокой их коды...
    А утилиту, уважаемый Дронго, вы мне не говорили для устранения НАВа.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    973
    Точно -другому говорил , похожие темы вот она http://service1.symantec.com/SUPPORT...05033108162039

  13. #12
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    956

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 1
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\awvvw.dll - not-a-virus:AdWare.Win32.Virtumonde.fp (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) Anotherworld, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Подозрение на инфекцию
      От qeriban в разделе Помогите!
      Ответов: 24
      Последнее сообщение: 16.09.2011, 20:23
    2. Подозрение на инфекцию.
      От qeriban в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 10.10.2010, 08:00
    3. Подозрение на вирус. Winlogon.exe
      От RRRomkaa в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:52
    4. Ответов: 21
      Последнее сообщение: 06.02.2009, 16:02
    5. Какую-то инфекцию сейчас я проглотил...:)
      От Ramzero в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 12.09.2008, 21:53

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00329 seconds with 17 queries