NOD32 говорит что в этом файле "C:\WINDOWS\system32\cnvfa.dll" находиться данны вирус помогите избавиться от него
Printable View
NOD32 говорит что в этом файле "C:\WINDOWS\system32\cnvfa.dll" находиться данны вирус помогите избавиться от него
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\vncbwxjt.dat','');
QuarantineFile('C:\WINDOWS\system32\Drivers\Msy51.sys','');
QuarantineFile('C:\WINDOWS\system32\cnvfa.dll','');
DeleteFile('C:\WINDOWS\system32\cnvfa.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\Msy51.sys');
DeleteFile('C:\WINDOWS\system32\Drivers\vncbwxjt.dat');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{4FE23952-ADF8-4985-92E1-4F50F1BD71AB}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
[size="1"][color="#666686"][B][I]Добавлено через 40 минут[/I][/B][/color][/size]
В карантин попал только vncbwxjt.dat - [b]Rootkit.Win32.Agent.ql[/b]
Сделайте новые логи, будем смотреть, что осталось.
[quote]В карантин попал только vncbwxjt.dat - [B]Rootkit.Win32.Agent.ql[/B]
Сделайте новые логи, будем смотреть, что осталось.[/quote]
сделано
Логи чистые.
Посмотрите, нужно ли вам что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Лишнее отключим.
надо оставить:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
все остальное можно отключить
[code]begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.[/code]
Огромное спасибо Bratez и rubin за помощь, теперь мой комп здаров.:xmas:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\vncbwxjt.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[/LIST][/LIST]