здравствуйте.
у меня проблема следующего характера: NOD32 обнаружил модифицированный Win32/Adware.Virtumonde.FP приложение найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\vtstr.dll.
пожалуйста помогите.
здравствуйте.
у меня проблема следующего характера: NOD32 обнаружил модифицированный Win32/Adware.Virtumonde.FP приложение найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\vtstr.dll.
пожалуйста помогите.
выполните скрипт....
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('opnomll.dll',''); QuarantineFile('\??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys',''); QuarantineFile('e:\PROGRA~1\IZArc\IZArcCM.dll',''); QuarantineFile('C:\WINDOWS\system32\vtstr.dll',''); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll',''); DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); DeleteFile('C:\WINDOWS\system32\vtstr.dll'); BC_QrSvc('mchInjDrv'); BC_ImportAll; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
после выполнения скрипта, компьютер перезагрузился. может это важно? карантин отправил.
Последний раз редактировалось zagoleg; 22.10.2007 в 22:51.
это нужно ....
а что, все? у меня антивирь молчит!!!
повторите логи ....
повторил
пофиксите
выполните скрипт....Код:O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing) O2 - BHO: (no name) - {A416D604-EAA3-4618-958C-2ECA22414616} - (no file) O2 - BHO: (no name) - {B0DB3371-3ACA-46BD-8F37-D9A16F473B1B} - C:\WINDOWS\system32\vtstr.dll (file missing) O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file) O20 - Winlogon Notify: opnomll - opnomll.dll (file missing) O20 - Winlogon Notify: vtstr - C:\WINDOWS\
повторите логи ...Код:begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); QuarantineFile('C:\WINDOWS\system32\vtstr.dll',''); QuarantineFile('opnomll.dll',''); DeleteFile('opnomll.dll'); DeleteFile('C:\WINDOWS\system32\vtstr.dll'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
mchInjDrv.sys - найдите и пришлите по правилам ...
извините, вопрос. логи повторить, а присылать?
запрашиваемый вами файл найти не удалось. использовал все варианты поиска, описанные здесь
У вас были not-a-virus:AdWare.Win32.BHO.gs
и not-a-virus:AdWare.Win32.BHO.if(по Касперскому)
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Что из этих служб вам нужно?остальное пофиксимКод:begin SetAVZGuardStatus(True); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak'); ExecuteSysClean; BC_Activate; RebootWindows(false); end.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Muzzle; 23.10.2007 в 03:17.
из вышеизложенных служб мне нужна только: >> Безопасность: разрешен автозапуск программ с CDROM
выполните скрипт...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
я не знаю как вы это делаете, но это ........ супер
еще вопрос, что мне делать с архивом virus.zip, который я ранее высылал вам? потому как антивир на него ругается. в том смысле, его уже можно удалять?
virus.zip и карантин можно удалить.
всем большое спасибо за помощь и за то, что Вы есть!!!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 17
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.n (DrWEB: Trojan.BitAcc)
- c:\\program files\\connectionservices\\connectionservices.dll. bak - Trojan.Win32.ConnectionServices.j (DrWEB: Trojan.BitAcc)
Уважаемый(ая) zagoleg, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.