Показано с 1 по 11 из 11.

Trojan.Virtumod (заявка № 9356)

  1. #1
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    41

    Thumbs up Trojan.Virtumod

    Грузится как плагин в IE7 и периодические выдает рекламу, жрет трафик.
    Касперский и Панда не видит.
    Dr.Web видит но удалить не может:

    Код:
     
    C:\Windows\System32\ 
    vtutt.dll
    fccayay.dll
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Выполните скрипт в AVZ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\PROGRA~1\FLASHS~1\save.htm','');
     QuarantineFile('C:\WINDOWS\system32\ghigjjat.dll','');
     QuarantineFile('C:\WINDOWS\system32\pmkhg.dll','');
     QuarantineFile('C:\WINDOWS\system32\vtutt.dll','');
     QuarantineFile('C:\WINDOWS\system32\rrgweerk.dll','');
     QuarantineFile('C:\WINDOWS\SYSTEM32\fccayay.dll','');
    RebootWindows(true);
    end.
    Компьютер перезагрузится.
    Пришлите содержимое карантина согласно приложению 3 правил.

  4. #3
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    41
    Выполнил и загрузил.
    Файл сохранён как 070428_175101_virus_4633514505c81.zip
    Размер файла 415839
    MD5 0686656cbe97ac8c07c543eae3b133e5

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Попробуйте вручную найти файлы (см. приложение 2 правил):
    C:\WINDOWS\system32\ghigjjat.dll
    C:\WINDOWS\system32\pmkhg.dll
    Если найдутся - пришлите.

  6. #5
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    41
    Цитата Сообщение от Bratez Посмотреть сообщение
    Попробуйте вручную найти файлы (см. приложение 2 правил):
    C:\WINDOWS\system32\ghigjjat.dll
    C:\WINDOWS\system32\pmkhg.dll
    Если найдутся - пришлите.
    Ошибка карантина файла "C:\WINDOWS\system32\ghigjjat.dll", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "C:\WINDOWS\system32\pmkhg.dll", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Ладно, бьем их всех, тут сомнений нет, просто хотелось заполучить образцы - вдруг новые модификации... Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('C:\WINDOWS\SYSTEM32\fccayay.dll');
     DeleteFile('C:\WINDOWS\system32\rrgweerk.dll');
     DeleteFile('C:\WINDOWS\system32\vtutt.dll');
     DeleteFile('C:\WINDOWS\system32\pmkhg.dll');
     DeleteFile('C:\WINDOWS\system32\ghigjjat.dll');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis:
    Код:
    O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\system32\rrgweerk.dll",realset
    и сделайте новые логи.

  8. #7
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    41
    Вышеуказанную строку в HiJackThis не нашел
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Всё ОК. Пофиксите теперь это, и дело сделано:
    Код:
    O2 - BHO: (no name) - {996A399D-BC0D-4885-BD51-A5A3F04C67E7} - C:\WINDOWS\system32\vtutt.dll (file missing)
    O2 - BHO: (no name) - {C7F39662-AC3B-4B80-8FC0-4034C01E73C1} - C:\WINDOWS\SYSTEM32\fccayay.dll (file missing)
    O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\ghigjjat.dll (file missing)
    O20 - Winlogon Notify: fccayay - fccayay.dll (file missing)
    O20 - Winlogon Notify: pmkhg - C:\WINDOWS\
    O20 - Winlogon Notify: vtutt - C:\WINDOWS\

  10. #9
    Junior Member Репутация
    Регистрация
    28.04.2007
    Сообщений
    5
    Вес репутации
    41
    Профессионально, а главное оперативно, огромное человеческое спасибо!

    В дальнейшем, каким антивирусом посоветуете пользоваться в связке с SyGate Firewall?

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1556
    Посмотрите эту картинку (статистика по Virustotal):
    http://virusinfo.info/attachment.php...7&d=1177758750
    Легко увидеть, кто есть who
    P.S. Лично я предпочитаю KIS.

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    955

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 4
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\fccayay.dll - not-a-virus:AdWare.Win32.Virtumonde.jc (DrWEB: Trojan.Virtumod)
      2. c:\\windows\\system32\\rrgweerk.dll - not-a-virus:AdWare.Win32.Virtumonde.hb (DrWEB: Trojan.Virtumod)
      3. c:\\windows\\system32\\vtutt.dll - not-a-virus:AdWare.Win32.Virtumonde.iz (DrWEB: Trojan.Virtumod)


  • Уважаемый(ая) Stalcer, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Trojan.Virtumod
      От SweetOpium в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 01.07.2009, 16:43
    2. Trojan.Virtumod
      От Vovaldo в разделе Помогите!
      Ответов: 17
      Последнее сообщение: 22.02.2009, 04:08
    3. trojan virtumod
      От aleklepp в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 22.02.2009, 02:28
    4. !!!!help Trojan.Virtumod!!!!!
      От partakabin в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 01:40
    5. Trojan.Virtumod.1466
      От Vagon в разделе Вредоносные программы
      Ответов: 3
      Последнее сообщение: 23.12.2008, 01:24

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01269 seconds with 17 queries