Win32/Adware.Virtumonde.FP нужна помощь

[zagoleg]

здравствуйте.
у меня проблема следующего характера: NOD32 обнаружил модифицированный Win32/Adware.Virtumonde.FP приложение найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\vtstr.dll.
пожалуйста помогите.

[V_Bond]

выполните скрипт....

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('opnomll.dll','');
 QuarantineFile('\??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
 QuarantineFile('e:\PROGRA~1\IZArc\IZArcCM.dll','');
 QuarantineFile('C:\WINDOWS\system32\vtstr.dll','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
 DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
 DeleteFile('C:\WINDOWS\system32\vtstr.dll');
 BC_QrSvc('mchInjDrv');     
 BC_ImportAll;
 BC_Activate;
 ExecuteSysClean;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[zagoleg]

после выполнения скрипта, компьютер перезагрузился. может это важно? карантин отправил.

[V_Bond]

это нужно ....

[zagoleg]

а что, все? у меня антивирь молчит!!!

[V_Bond]

повторите логи ....

[zagoleg]

повторил

[V_Bond]

пофиксите

Код:

O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: (no name) - {A416D604-EAA3-4618-958C-2ECA22414616} - (no file)
O2 - BHO: (no name) - {B0DB3371-3ACA-46BD-8F37-D9A16F473B1B} - C:\WINDOWS\system32\vtstr.dll (file missing)
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file)
O20 - Winlogon Notify: opnomll - opnomll.dll (file missing)
O20 - Winlogon Notify: vtstr - C:\WINDOWS\

выполните скрипт....

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\WINDOWS\system32\vtstr.dll','');
 QuarantineFile('opnomll.dll','');
 DeleteFile('opnomll.dll');
 DeleteFile('C:\WINDOWS\system32\vtstr.dll');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

повторите логи ...

mchInjDrv.sys - найдите и пришлите по правилам ...

[zagoleg]

извините, вопрос. логи повторить, а присылать?

[zagoleg]

запрашиваемый вами файл найти не удалось. использовал все варианты поиска, описанные здесь

[Muzzle]

У вас были not-a-virus:AdWare.Win32.BHO.gs
и not-a-virus:AdWare.Win32.BHO.if(по Касперскому)

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
  DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak');
 ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.

Что из этих служб вам нужно?остальное пофиксим

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[zagoleg]

из вышеизложенных служб мне нужна только: >> Безопасность: разрешен автозапуск программ с CDROM

[V_Bond]

выполните скрипт...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[zagoleg]

я не знаю как вы это делаете, но это ........ супер
еще вопрос, что мне делать с архивом virus.zip, который я ранее высылал вам? потому как антивир на него ругается. в том смысле, его уже можно удалять?

[AndreyKa]

virus.zip и карантин можно удалить.

[zagoleg]

всем большое спасибо за помощь и за то, что Вы есть!!!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 17
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.n (DrWEB: Trojan.BitAcc)
  2. c:\\program files\\connectionservices\\connectionservices.dll. bak - Trojan.Win32.ConnectionServices.j (DrWEB: Trojan.BitAcc)