Всем привет.
Недавно НОД обнаружил BHO.ABO вирус в explorer.exe, заражен файл cmuti.dll в windows/system32. Файл, ясное дело не удалить.
Надеюсь на вашу помощь, сейчас попытаюсь прислать логи.
Всем привет.
Недавно НОД обнаружил BHO.ABO вирус в explorer.exe, заражен файл cmuti.dll в windows/system32. Файл, ясное дело не удалить.
Надеюсь на вашу помощь, сейчас попытаюсь прислать логи.
bitaccelerator и connectionservices - деинсталлировать станд. методом через "Панель управления".
Выполнить скрипт:
Загрузить карантин после перезагрузки по Правилам.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\drivers\hdzbkbyz.dat',''); BC_DeleteFile('D:\WINDOWS\system32\drivers\hdzbkbyz.dat'); DeleteFile('D:\WINDOWS\system32\drivers\hdzbkbyz.dat'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Хороший карантинчик на 16Мб
Ждем новые логи.
I am not young enough to know everything...
эээ....товарищи, я что-то не так сделал?
Да нет, просто в карантин что-то большое попало. Попробуй, когда архивируешь, на некоторых больших файлах галочки не ставь и если получится карантин поменьше, загрузи еще разок.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Ок, попробую, сейчас заново скрипты выполню, и попробую отправить всё, что нужно. Если Твой Интернет не отрубится.)
Спасибо!
Добавлено через 42 минуты
virus.zip переделал (вчерашний), отправил.
Последний раз редактировалось Равиль; 18.12.2007 в 11:44. Причина: Добавлено
Дубль 2.
connection service и bitacc удалил вчера, логи сегодняшние.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('D:\WINDOWS\system32\cmuti.dll'); DeleteFile('D:\Program Files\ConnectionServices\ConnectionServices.dll.bak'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пофиксите в HijackThis:
Еще раз перезагрузитесь и сделайте логи, начиная с п.10 правил.Код:R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file) O2 - BHO: ConnectionServices Class - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - D:\Program Files\ConnectionServices\ConnectionServices.dll (file missing) O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O2 - BHO: (no name) - {94908B90-D580-423F-9EDC-075136A19452} - D:\WINDOWS\system32\cmuti.dll O4 - HKLM\..\Run: [UserFaultCheck] %systemroot%\system32\dumprep 0 -u O20 - Winlogon Notify: reset5 - D:\WINDOWS\SYSTEM32\reset5.dll O20 - Winlogon Notify: stp68_2007 - D:\WINDOWS\
I am not young enough to know everything...
Удален:
Src=D:\WINDOWS\system32\drivers\hdzbkbyz.dat - Trojan.NtRootKit.511(Др.Веб),
Rootkit.Win32.Agent.ql(Касперский)
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Src=D:\WINDOWS\system32\drivers\hdzbkbyz.dat - Trojan.NtRootKit.511(Др.Веб),
Rootkit.Win32.Agent.ql(Касперский)
- а что это вообще и чем опасно?
Важельбе! Вот логи!
Вот эту строчку надо профиксить в hijackthis:
При желании еще можно отключить:Код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru/
D:\WINDOWS\Offline Web Pages\svchost.exe - поискать через AVZ, если не найдется, то можно будет удалить лишний сервис.Код:O4 - HKCU\..\Run: [AdobeUpdater] D:\Program Files\Common Files\Adobe\Updater5\AdobeUpdater.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Павел, АВЗ не нашёл D:\WINDOWS\Offline Web Pages\svchost.exe...
Как его удалить? Обычным способом через проводник?Или как?
Сенкс.
Можно вот так:
Пуск - Выполнить - cmd, нажать Ок - в черном окне sc delete 'SysSch'
Либо скриптом:
Код:begin BC_DeleteSvc('SysSch'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо.
ок, сделаю в пятницу, после рабочих будней. но одно однозначно - из трея теперь не вылезает окошко с "алертом" и предложением установить чудо как полезную программу санитардиска
Большое спасибо, в пятницу пришлю.
Вот, последние логи.
В логах все чисто.
Пофиксите строчку для порядка:
Рекомендуется отключить все что вам не нужно из этого:Код:O3 - Toolbar: (no name) - {ACB1E670-3217-45C4-A021-6B829A8A27CB} - (no file)
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: разрешен автоматический вход в систему
I am not young enough to know everything...
Уважаемый(ая) Равиль, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.