ntde1ect.com

Добрый вечер!

Видимо через флешку подхватил ntde1ect.com и autorun.inf. Были заражены оба домашних компа, находящиеся в сети.

Симптомы были примерно такими:

1. не открывались разделы из "мой компьютер"

2. скрытые файлы не делались видимыми

3. компьютеры начали конфликтовать друг с другом в сети.

4. возникали периодические проблемы с explorer. например иногда не открывалось больше определенного кол-ва окон; при клике правой кнопкой мыши на любой файл, в появляющемся всплывающем меню частично отсутствовали стандартные команды; криво открывались ссылки в ie.

Почитав форум, почистил всё что мог и вроде бы часть проблем решилась (прежде всего п.1 и п.3). Тем не менее, пункт 2 остался без изменений, что весьма удручает. А пункт 4 пока что не повторялся, но ощущение карявости explorer'а осталось. достаточно часто внезапно прекращает свою работу.

Не могли бы вы оказать мне помощь и взглянуть на мои последние логи.
Заранее благодарен!

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
QuarantineFile('C:\windows\ABLKSR\ABLKSR.exe','');
QuarantineFile('C:\WINDOWS\system32\W5.scr','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smserial.sys','');
QuarantineFile('C:\WINDOWS\system32\xvid.ax','');
QuarantineFile('C:\WINDOWS\system32\asusasv2.dll','');
QuarantineFile('C:\WINDOWS\ASScrPro.exe','');
QuarantineFile('C:\Program Files\Aspell\bin\aspell-15.dll','');
QuarantineFile('c:\windows\asscrpro.exe','');
QuarantineFile('c:\windows\system32\acovcnt.exe','');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=16760[/url]

скрипт выполнил, карантин выслал!

видимо ошибся, выложив здесь в предыдущем посте логи со своего второго компа. пост был перемещен в новую тему ntde1ect.com-2.

Кстати, этот файл - C:\WINDOWS\ASScrPro.exe - это скорее всего фирменный ASUS'кий скринсейвер.

ConnectionServices можно просто деинсталлировать. Это Adware, рекламная приблуда.

Ответа по карантину пока нет. Ждем-с.

Чистые: ABLKSR.exe, acovcnt.exe, aspell-15.dll, ASScrPro.exe, asusasv2.dll, W5.scr, xvid.ax

ConnectionServices.dll - [b]not-a-virus:AdWare.Win32.BHO.kj[/b]
Т.е. больше плохого у Вас не видно

Какие-то проблемы остались?

Из видимых проблем осталось невозможность сделать видимыми скрытые файлы!

Вот этот файл из карантина C:\WINDOWS\system32\DRIVERS\smserial.sys тоже чистый?

И еще осталось несколько вопросов:

1. Что теперь делать с чистыми файлами находящимися в карантине? их надо как-то восстановить?

2. Какие службы можно отключить и как правильно это сделать? при условии что это домашний комп, есть домашняя сеть из двух компов, есть локальная сеть провайдера и инет.

C:\WINDOWS\system32\DRIVERS\smserial.sys в карантин не попал, заархивируйте вручную с паролем virus и отправьте по правилам
1. нет, их не удаляли
2. >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

ConnectionServices сделал uninstall.

Файлик smserial.sys куда-то пропал, через AVZ не удалось его разыскать.

На всякий случай выкладываю обновленные логи.

Скрытые файлы так и не делаются видимыми! И если честно, так и не понял какие службы мне стоит отключить и как это можно сделать..:?

Выполните скрипт:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.[/code]
Лишние сервисы отключатся, скрытые файлы должны появиться.

Скрытые файлы стали видимыми, на этом компе вроде тоже всё ок!

Новые логи на крайний случай...

Спасибо!

Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\acovcnt.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин по правилам.

Карантин выслал!

acovcnt.exe
Вредоносный код в файле не обнаружен.

Есть еще жалобы?

Вроде всё в порядкею Спасибо вам за помощь!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]31[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\connectionservices\\connectionservices.dll - [B]Trojan.Win32.ConnectionServices.m[/B] (DrWEB: Trojan.BitAcc)[/LIST][/LIST]