Неудаляющийся BHO.abo

**MYSTERIO** · 10.12.2007, 02:44

Словил кучу вирусов. Другие удаляются, а этот ну никак, помогите пожалуйста

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 10.12.2007, 03:20

Отключите восстановление системы!

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\an7Vk2Ar.exe','');
 QuarantineFile('C:\WINDOWS\system32\pTx6cki1.exe','');
 QuarantineFile('C:\WINDOWS\system32\6Kk5x40h.exe','');
 QuarantineFile('C:\WINDOWS\WebAssist.dll','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\WINDOWS\system32\ac3acmj.exe','');
 QuarantineFile('C:\WINDOWS\runsql.exe','');
 QuarantineFile('C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe','');
 QuarantineFile('C:\WINDOWS\system32\drivers\szzcbovd.dat','');
 QuarantineFile('C:\WINDOWS\system32\cdmode.dll','');
 DeleteFile('C:\WINDOWS\system32\cdmode.dll');
 DeleteFile('C:\WINDOWS\system32\drivers\szzcbovd.dat');
 DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\etc\LSASS.exe');
 DeleteFile('C:\WINDOWS\runsql.exe');
 DeleteFile('C:\WINDOWS\system32\ac3acmj.exe');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
 DeleteFile('C:\WINDOWS\WebAssist.dll');
 DeleteFile('C:\WINDOWS\system32\6Kk5x40h.exe');
 DeleteFile('C:\WINDOWS\system32\pTx6cki1.exe');
 DeleteFile('C:\WINDOWS\system32\an7Vk2Ar.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.

Пофиксите в HijackThis:

Код:

O2 - BHO: (no name) - {56BFEC43-C298-487E-9C28-96DCEFD0A147} - C:\WINDOWS\system32\cdmode.dll
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: WebAssist - {85589B5D-D53D-4237-A677-46B82EA275F3} - C:\WINDOWS\WebAssist.dll (file missing)

Удалите все задания в Планировщике (Панель управления - Назначенные задания).
Перезагрузитесь.
Сделайте новые логи.

**MYSTERIO** · 10.12.2007, 15:22

Карантин оказался больше, чем поддерживает форум =(
А логи вот
Nod32 ничего не находит, так что скорее всего обошлось)

**zerocorporated** · 10.12.2007, 15:25

Карантин оказался больше, чем поддерживает форум

Через эту ссылку загружали ?

**Bratez** · 10.12.2007, 15:33

Пофиксите в HijackThis:

Код:

O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Очистите временные файлы IE.

Удалите папку:
C:\Program Files\ConnectionServices

Посмотрите, что вам нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule ()
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.

**MYSTERIO** · 10.12.2007, 15:53

Сообщение от zerocorporated

Через эту ссылку загружали ?

Ой, извиняюсь. Загрузил, только как узнать получилось или нет?)

Всё сделал
По поводу служб и безопасности я надеюсь на вас) Я просто не знаю какая что даёт

**Bratez** · 10.12.2007, 16:08

Карантин пришел.

Вот скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Если есть локалка с общим доступом к файлам и принтерам, уберите из скрипта первую строчку после begin.

Добавлено через 4 минуты

В карантин попали тараканы следующих видов:
not-a-virus:AdWare.Win32.BHO.kj
not-a-virus:AdWare.Win32.BHO.hu
Backdoor.Win32.IRCBot.asm
Rootkit.Win32.Agent.ql

**MYSTERIO** · 10.12.2007, 16:32

А что с ними теперь делать?

**Bratez** · 10.12.2007, 16:48

Это просто для информации.
У вас в системе их уже нет, удалены скриптом.
Можете очистить у AVZ подпапку Quarantine.

**MYSTERIO** · 11.12.2007, 07:22

Ок)
Огромное спасибо за помощь)

**CyberHelper** · 22.02.2009, 03:03

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 26
В ходе лечения обнаружены вредоносные программы:
1. c:\\program files\\connectionservices\\connectionservices.dll - Trojan.Win32.ConnectionServices.p
2. c:\\program files\\connectionservices\\connectionservices.dll. bak - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
3. c:\\system volume information\\_restore{c23e9966-1ecf-4d9e-a017-736920eaa0f3}\\rp205\\a0046270.dll - Trojan.Win32.ConnectionServices.m (DrWEB: Trojan.BitAcc)
4. c:\\windows\\system32\\ac3acmj.exe - Backdoor.Win32.IRCBot.asm (DrWEB: Trojan.Packed.147)
5. c:\\windows\\system32\\drivers\\szzcbovd.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)

Неудаляющийся BHO.abo (заявка № 15073)

Опции темы

Неудаляющийся BHO.abo

Итог лечения

Похожие темы

Неудаляющийся вирус WLCtrl32.dll в папке Windows\system32

Неудаляющийся NOD-ом троян

Ваши права в разделе