Доброго времени!
Файл C:\Windows\sustem32\cnbjmo.dll
Не удаляется, и в безопасном режиме - тоже. Аваст просто не видит.
Подскажите, пожалуйста, как бы его прибить.
Доброго времени!
Файл C:\Windows\sustem32\cnbjmo.dll
Не удаляется, и в безопасном режиме - тоже. Аваст просто не видит.
Подскажите, пожалуйста, как бы его прибить.
Выполните скрипт в AVZЗагрузите карантин по этой ссылке. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Артем\Local Settings\Temporary Internet Files\Content.IE5\AT0M2FVW\installer[1].exe',''); QuarantineFile('C:\Documents and Settings\Home\Local Settings\Temporary Internet Files\Content.IE5\6RMZAL4L\205[1].exe',''); QuarantineFile('C:\WINDOWS\system32\THEONE~1.SCR',''); QuarantineFile('C:\WINDOWS\system32\Drivers\ffnjeuyy.dat',''); QuarantineFile('C:\WINDOWS\system32\cnbjmo.dll',''); DeleteFile('C:\WINDOWS\system32\cnbjmo.dll'); DeleteFile('C:\WINDOWS\system32\Drivers\ffnjeuyy.dat'); DeleteFile('C:\Documents and Settings\Home\Local Settings\Temporary Internet Files\Content.IE5\6RMZAL4L\205[1].exe'); DeleteFile('C:\Documents and Settings\Артем\Local Settings\Temporary Internet Files\Content.IE5\AT0M2FVW\installer[1].exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Есть.
Выполните скрипт в AVZЗагрузите карантин по этой ссылке. Повторите логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DelBHO('44627E97-789B-40d4-B5C2-58BD171129A1'); DelBHO('FD339BDD-B4A9-4C36-A16A-47432171C8EA'); QuarantineFile('C:\System Volume Information\_restore{18D84022-739E-4D64-91EA-5E55F18E05AA}\RP3\A0000121.exe',''); QuarantineFile('C:\System Volume Information\_restore{18D84022-739E-4D64-91EA-5E55F18E05AA}\RP3\A0000120.dll',''); DeleteFile('C:\System Volume Information\_restore{18D84022-739E-4D64-91EA-5E55F18E05AA}\RP3\A0000120.dll'); DeleteFile('C:\System Volume Information\_restore{18D84022-739E-4D64-91EA-5E55F18E05AA}\RP3\A0000121.exe'); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Восстановление системы: включено -отключить ...
И снова есть. Восстановление убрал.
в логах чисто ...
осталось разобраться с этим .....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошник
Комп домашний.
Из служб, наверное, позакрывать все. Из безопасности... последние два?
Это в msconfig?
тогда можно действительно закрыть все ...
выполните скрипт ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Спасибо, все вроде как живо...
Черт, единственное, чем можно поблагодарить, так это спасибом... ну хоть проголосую да попиарю сайт немного. )
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 52
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\home\\local settings\\temporary internet files\\content.ie5\\6rmzal4l\\205[1].exe - Trojan-Proxy.Win32.Agent.ro (DrWEB: Trojan.Spambot.2496)
- c:\\documents and settings\\артем\\local settings\\temporary internet files\\content.ie5\\at0m2fvw\\installer[1].exe - Trojan-Spy.Win32.BZub.buz (DrWEB: Trojan.MulDrop.16569)
- c:\\system volume information\\_restore{18d84022-739e-4d64-91ea-5e55f18e05aa}\\rp3\\a0000120.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.3805
- c:\\system volume information\\_restore{18d84022-739e-4d64-91ea-5e55f18e05aa}\\rp3\\a0000121.exe - Trojan-Proxy.Win32.Agent.ro (DrWEB: Trojan.Spambot.2496)
- c:\\windows\\system32\\cnbjmo.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.3805
- c:\\windows\\system32\\drivers\\ffnjeuyy.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)
- c:\\windows\\system32\\the one ring 3d screensaver.scr - Backdoor.Win32.Agent.dkz
- c:\\windows\\system32\\theone~1.scr - Backdoor.Win32.Agent.dkz
Уважаемый(ая) Dilling, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.