Sanitar Diska, помогите.

Printable View

14.06.2008, 23:56
kamstyler

Вложений: 3

Sanitar Diska, помогите.

Поймал где-то Sanitar Diska, если работать в интернет эксплорере,постоянно вылетает предложение скачать эту программу,затем открывается окно,после чего нод32 обнаруживает программу,содержащую вирус и блокирует ее загрузку.также,не открываются страницы в Opera,пока через диспетчер задач не завершить 2 процесса rundll32 и explorer.exe.После этих операций все начинает работать.Также через какое-то время Nod32 обнаружил файл urqqrjif.dll,зараженный Virtumonde.его вылечил с помощью VirtumondoBe Gone.exe.
15.06.2008, 00:17
V_Bond

BitAccelerator - деисталировать ...
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS:service.exe:$DATA','');
QuarantineFile('C:\WINDOWS\service.exe','');
DelBHO('{9961627E-4059-41B4-8E0E-A7D6B3854ADF}');
DelBHO('{94B52D3F-A6D8-42D9-8212-3513DF9265F6}');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
DelBHO('{63ECD3C0-A702-46F4-90AD-F482DB373B6E}');
DelBHO('{4347E8E2-8C79-4778-8A67-22D0498A4D90}');
DelCLSID('C91AE67B-E03D-7E97-4EA7-81E2C1041722');
QuarantineFile('C:\WINDOWS\system32\opNfdEuS.dll','');
QuarantineFile('C:\WINDOWS\system32\cntstllw.dll','');
QuarantineFile('C:\WINDOWS\system32\lttjpbii.dll','');
DeleteFile('C:\WINDOWS\system32\lttjpbii.dll');
DeleteFile('C:\WINDOWS\system32\cntstllw.dll');
DeleteFile('C:\WINDOWS\system32\opNfdEuS.dll');
DeleteFile('C:\WINDOWS\service.exe');
DeleteFile('C:\WINDOWS:service.exe:$DATA');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
повторите логи ....
15.06.2008, 02:11
kamstyler

Вложений: 3

сделал как написано.
15.06.2008, 09:56
Aleksandra

[quote]9. Мастер поиска и устранения проблем
>> [COLOR=Red]Нарушение ассоциации SCR файлов[/COLOR]
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей[/quote]Устраняется в AVZ: "Файл" -> "Мастер поиска и устранения проблем" -> нажать "Пуск".
В найденных проблемах отметить их и нажать "Исправить отмеченные проблемы".

Из этих служб что-то нужно?
[quote]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/quote]Если нет, то [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт в AVZ:[/URL]
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]

Если FlashGet деинсталлирован, то выполняем:

[CODE]begin
DelBHO('{A5366673-E8CA-11D3-9CD9-0090271D075B}');
end.[/CODE]
15.06.2008, 12:14
kamstyler

Теперь все чисто? спасибо Вам большое.
15.06.2008, 14:19
Aleksandra

[quote=kamstyler;241028]Теперь все чисто?[/quote]
Ничего зловредного в логах нет.
24.06.2008, 23:44
kamstyler

Подскажите пожалуйста,после выполнения предложенных скриптов мог перестать работать ик-порт?
25.06.2008, 02:26
pig

Запросто - ему терминальная служба требуется. Выполните скрипт:
[code]begin
SetServiceStart('TermService', 2);
end.[/code]
И перезагрузитесь.
22.02.2009, 05:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\cntstllw.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.ytl[/B] (DrWEB: Trojan.Virtumod.based.12)[*] c:\\windows\\system32\\lttjpbii.dll - [B]not-a-virus:AdWare.Win32.Virtumonde.ytm[/B] (DrWEB: Trojan.Virtumod.based.12)[/LIST][/LIST]