Словил кучу вирусов. Другие удаляются, а этот ну никак, помогите пожалуйста
Словил кучу вирусов. Другие удаляются, а этот ну никак, помогите пожалуйста
Отключите восстановление системы!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\an7Vk2Ar.exe',''); QuarantineFile('C:\WINDOWS\system32\pTx6cki1.exe',''); QuarantineFile('C:\WINDOWS\system32\6Kk5x40h.exe',''); QuarantineFile('C:\WINDOWS\WebAssist.dll',''); QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll',''); QuarantineFile('C:\WINDOWS\system32\ac3acmj.exe',''); QuarantineFile('C:\WINDOWS\runsql.exe',''); QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\szzcbovd.dat',''); QuarantineFile('C:\WINDOWS\system32\cdmode.dll',''); DeleteFile('C:\WINDOWS\system32\cdmode.dll'); DeleteFile('C:\WINDOWS\system32\drivers\szzcbovd.dat'); DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe'); DeleteFile('C:\WINDOWS\runsql.exe'); DeleteFile('C:\WINDOWS\system32\ac3acmj.exe'); DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll'); DeleteFile('C:\WINDOWS\WebAssist.dll'); DeleteFile('C:\WINDOWS\system32\6Kk5x40h.exe'); DeleteFile('C:\WINDOWS\system32\pTx6cki1.exe'); DeleteFile('C:\WINDOWS\system32\an7Vk2Ar.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
Пофиксите в HijackThis:
Удалите все задания в Планировщике (Панель управления - Назначенные задания).Код:O2 - BHO: (no name) - {56BFEC43-C298-487E-9C28-96DCEFD0A147} - C:\WINDOWS\system32\cdmode.dll O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing)
Перезагрузитесь.
Сделайте новые логи.
I am not young enough to know everything...
Карантин оказался больше, чем поддерживает форум =(
А логи вот
Nod32 ничего не находит, так что скорее всего обошлось)
Через эту ссылку загружали ?Карантин оказался больше, чем поддерживает форум
Пофиксите в HijackThis:
Очистите временные файлы IE.Код:O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
Удалите папку:
C:\Program Files\ConnectionServices
Посмотрите, что вам нужно из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule () >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Карантин пришел.
Вот скрипт для отключения ненужного:
Если есть локалка с общим доступом к файлам и принтерам, уберите из скрипта первую строчку после begin.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Добавлено через 4 минуты
В карантин попали тараканы следующих видов:
not-a-virus:AdWare.Win32.BHO.kj
not-a-virus:AdWare.Win32.BHO.hu
Backdoor.Win32.IRCBot.asm
Rootkit.Win32.Agent.ql
Последний раз редактировалось Bratez; 10.12.2007 в 17:02. Причина: дополнил список
I am not young enough to know everything...
А что с ними теперь делать?
Это просто для информации.
У вас в системе их уже нет, удалены скриптом.
Можете очистить у AVZ подпапку Quarantine.
I am not young enough to know everything...
Ок)
Огромное спасибо за помощь)
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 26
- В ходе лечения обнаружены вредоносные программы:
- c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.p
- c:\\program files\\connectionservices\\connectionservices.dll. bak - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
- c:\\system volume information\\_restore{c23e9966-1ecf-4d9e-a017-736920eaa0f3}\\rp205\\a0046270.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
- c:\\windows\\system32\\ac3acmj.exe - Backdoor.Win32.IRCBot.asm (DrWEB: Trojan.Packed.147)
- c:\\windows\\system32\\drivers\\szzcbovd.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)
Уважаемый(ая) MYSTERIO, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.