Всем привет.
Недавно НОД обнаружил BHO.ABO вирус в explorer.exe, заражен файл cmuti.dll в windows/system32. Файл, ясное дело не удалить.:smile:
Надеюсь на вашу помощь, сейчас попытаюсь прислать логи.
Printable View
Всем привет.
Недавно НОД обнаружил BHO.ABO вирус в explorer.exe, заражен файл cmuti.dll в windows/system32. Файл, ясное дело не удалить.:smile:
Надеюсь на вашу помощь, сейчас попытаюсь прислать логи.
bitaccelerator и connectionservices - деинсталлировать станд. методом через "Панель управления".
Выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\drivers\hdzbkbyz.dat','');
BC_DeleteFile('D:\WINDOWS\system32\drivers\hdzbkbyz.dat');
DeleteFile('D:\WINDOWS\system32\drivers\hdzbkbyz.dat');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин после перезагрузки по Правилам.
Сделать новые логи.
Хороший карантинчик на 16Мб ;)
Ждем новые логи.
[QUOTE=Bratez;161960]Хороший карантинчик на 16Мб ;)
Ждем новые логи.[/QUOTE]
Мне слабо такое скачать.
эээ....товарищи, я что-то не так сделал?
Да нет, просто в карантин что-то большое попало. Попробуй, когда архивируешь, на некоторых больших файлах галочки не ставь и если получится карантин поменьше, загрузи еще разок.
Ок, попробую, сейчас заново скрипты выполню, и попробую отправить всё, что нужно. Если Твой Интернет не отрубится.)
Спасибо!
[size="1"][color="#666686"][B][I]Добавлено через 42 минуты[/I][/B][/color][/size]
virus.zip переделал (вчерашний), отправил.
Дубль 2.
connection service и bitacc удалил вчера, логи сегодняшние.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\WINDOWS\system32\cmuti.dll');
DeleteFile('D:\Program Files\ConnectionServices\ConnectionServices.dll.bak');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: ConnectionServices Class - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - D:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {94908B90-D580-423F-9EDC-075136A19452} - D:\WINDOWS\system32\cmuti.dll
O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u
O20 - Winlogon Notify: reset5 - D:\WINDOWS\SYSTEM32\reset5.dll
O20 - Winlogon Notify: stp68_2007 - D:\WINDOWS\
[/code]
Еще раз перезагрузитесь и сделайте логи, начиная с п.10 правил.
Удален:
Src=D:\WINDOWS\system32\drivers\hdzbkbyz.dat - Trojan.NtRootKit.511(Др.Веб),
Rootkit.Win32.Agent.ql(Касперский)
Src=D:\WINDOWS\system32\drivers\hdzbkbyz.dat - Trojan.NtRootKit.511(Др.Веб),
Rootkit.Win32.Agent.ql(Касперский)
- а что это вообще и чем опасно?
Важельбе! Вот логи!:smile:
Вот эту строчку надо профиксить в hijackthis:
[CODE]R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = [url]http://www.apeha.ru/[/url][/CODE]
При желании еще можно отключить:
[CODE]O4 - HKCU\..\Run: [AdobeUpdater] D:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe[/CODE]
[B]D:\WINDOWS\Offline Web Pages\svchost.exe[/B] - поискать через AVZ, если не найдется, то можно будет удалить лишний сервис.
Павел, АВЗ не нашёл D:\WINDOWS\Offline Web Pages\svchost.exe...
Как его удалить? Обычным способом через проводник?Или как?
Сенкс.
Можно вот так:
Пуск - Выполнить - cmd, нажать Ок - в черном окне sc delete 'SysSch'
Либо скриптом:
[CODE]begin
BC_DeleteSvc('SysSch');
BC_Activate;
RebootWindows(true);
end.[/CODE]
Спасибо.
[QUOTE=Равиль;162117]Спасибо.[/QUOTE]
Спасибо это хорошо, но нужно для контроля логи сделать, начиная с п.10 Правил.
ок, сделаю в пятницу, после рабочих будней. но одно однозначно - из трея теперь не вылезает окошко с "алертом" и предложением установить чудо как полезную программу санитардиска:)
Большое спасибо, в пятницу пришлю.
Вот, последние логи.:smile:
В логах все чисто.
Пофиксите строчку для порядка:
[code]O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)[/code]
Рекомендуется отключить все что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
[/code]