здравствуйте.
у меня проблема следующего характера: NOD32 обнаружил модифицированный Win32/Adware.Virtumonde.FP приложение найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\vtstr.dll.
пожалуйста помогите.
Printable View
здравствуйте.
у меня проблема следующего характера: NOD32 обнаружил модифицированный Win32/Adware.Virtumonde.FP приложение найден в оперативной памяти. Инфeкция cиcтeмнoй пaмяти пpoиcxoдит из фaйлa C:\WINDOWS\system32\vtstr.dll.
пожалуйста помогите.
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('opnomll.dll','');
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\mchInjDrv.sys','');
QuarantineFile('e:\PROGRA~1\IZArc\IZArcCM.dll','');
QuarantineFile('C:\WINDOWS\system32\vtstr.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
DeleteFile('C:\WINDOWS\system32\vtstr.dll');
BC_QrSvc('mchInjDrv');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
после выполнения скрипта, компьютер перезагрузился. может это важно? карантин отправил.
это нужно .... ;)
а что, все? у меня антивирь молчит!!!
повторите логи ....
повторил
пофиксите
[code]
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: (no name) - {A416D604-EAA3-4618-958C-2ECA22414616} - (no file)
O2 - BHO: (no name) - {B0DB3371-3ACA-46BD-8F37-D9A16F473B1B} - C:\WINDOWS\system32\vtstr.dll (file missing)
O2 - BHO: (no name) - {CF46BFB3-2ACC-441b-B82B-36B9562C7FF1} - (no file)
O20 - Winlogon Notify: opnomll - opnomll.dll (file missing)
O20 - Winlogon Notify: vtstr - C:\WINDOWS\
[/code]
выполните скрипт....
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\WINDOWS\system32\vtstr.dll','');
QuarantineFile('opnomll.dll','');
DeleteFile('opnomll.dll');
DeleteFile('C:\WINDOWS\system32\vtstr.dll');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
mchInjDrv.sys - найдите и пришлите по правилам ...
извините, вопрос. логи повторить, а присылать?
запрашиваемый вами файл найти не удалось. использовал все варианты поиска, описанные [url=http://virusinfo.info/showthread.php?t=4567]здесь[/url]
У вас были [COLOR="Blue"]not-a-virus:AdWare.Win32.BHO.gs[/COLOR]
и [COLOR="Blue"]not-a-virus:AdWare.Win32.BHO.if[/COLOR](по Касперскому)
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll.bak');
ExecuteSysClean;
BC_Activate;
RebootWindows(false);
end.[/CODE]
Что из этих служб вам нужно?остальное пофиксим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
из вышеизложенных служб мне нужна только: >> Безопасность: разрешен автозапуск программ с CDROM
выполните скрипт...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
я не знаю как вы это делаете, но это ........ супер :)
еще вопрос, что мне делать с архивом virus.zip, который я ранее высылал вам? потому как антивир на него ругается. в том смысле, его уже можно удалять?
virus.zip и карантин можно удалить.
всем большое спасибо за помощь и за то, что Вы есть!!!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.n[/B] (DrWEB: Trojan.BitAcc)[*] c:\\program files\\connectionservices\\connectionservices.dll.bak - [B]Trojan.Win32.ConnectionServices.j[/B] (DrWEB: Trojan.BitAcc)[/LIST][/LIST]