Касперский не может удалить файл
adsnd.dll из system32
который содержит
trojan.win32.bho.agz
Просьба помочь с trojan.win32.bho.agz
Касперский не может удалить файл
adsnd.dll из system32
который содержит
trojan.win32.bho.agz
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); ClearHostsFile; DelBHO('CB08D6A3-2054-4307-8212-9D2CE1921E75'); DelCLSID('47833539-D0C5-4125-9FA8-0819E2EAAC93'); DelCLSID('08B0E5C0-4FCB-11CF-AAA5-00401C608501'); QuarantineFile('C:\WINDOWS\system32\adsnd.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\kshbqmii.dat',''); DeleteFile('C:\WINDOWS\system32\Drivers\kshbqmii.dat'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\adsnd.dll'); BC_ImportAll; BC_DeleteSvc('keljdhtt'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16667
Последний раз редактировалось rubin; 19.01.2008 в 21:05. Причина: добавил правку hosts-файла
Вопрос - почему Касперский не может удалить такие файлы - судя по просьбам - это типичная ситуация.
Каким способом (посредством чего) блокируются удаление, КОПИРОВАНИЕ И ПЕРЕИМЕНОВАНИЕ ФАЙЛА?? Права доступа здесь ни при чём, как я понял. Я - программист и сисадмин. Если не трудно - ответьте, пожалуйста. Кстати, NTOS.EXE я удалил всё-таки сам - в момент, когда Касперский заблокировал восстановление "USERINIT=", я просто выключил питание (shutdown не помогал), после этого Касперский смог удалить NTOS.EXE. А вот adsnd.dll - не мог. Только ваш скрипт смог! Спасибо! Но хотелось бы научиться самому такие вещи делать.....
Логи повторите посмотрим все ли "чужие" ушли.
Там руткит, ставящийся в обход антивирусу... в следующей версии антивирус научится блокировать установкуВопрос - почему Касперский не может удалить такие файлы - судя по просьбам - это типичная ситуация.
Руткит перехватывает определенные функция, скрывая и защищая dll-файл.Каким способом (посредством чего) блокируются удаление, КОПИРОВАНИЕ И ПЕРЕИМЕНОВАНИЕ ФАЙЛА??
Запишитесь в группу студентовНо хотелось бы научиться самому такие вещи делать.....
http://virusinfo.info/showthread.php?t=8062
А логи повторить тоже обязательно
повторяю логи
Восстановление системы: включено
C:\System Volume Information\_restore{519DCDC8-53F2-41D2-B935-3FB6B0C0ACD9}\RP12\A0004330.dll >>> подозрение на Trojan.Win32.BHO.abo
Отключите - перезагрузитесь - затем можно включать, хотя лучше сторонние программы использовать.
В остальном все чисто.
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Один вирус сел из-за автозапуска с флешки.
Не подскажете, как это отключить?
Я так понимаю, что с CD - это другое?
Выполните скрипт:
Отключит все, кроме CDКод:procedure DisableAutorun; begin RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4); end; begin DisableAutorun; end.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 8
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\adsnd.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.39299)
- c:\\windows\\system32\\drivers\\kshbqmii.dat - Rootkit.Win32.Agent.tw (DrWEB: Trojan.NtRootKit.511)
Уважаемый(ая) kenken, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
