Показано с 1 по 14 из 14.

Troyan.Downloader.37561 (заявка № 16913)

  1. #1
    Junior Member Репутация
    Регистрация
    24.01.2008
    Сообщений
    7
    Вес репутации
    37

    Exclamation Troyan.Downloader.37561

    Доброго всем времени суток!
    Вторую неделю не могу убить гадскую зверюгу, Доктор Беб находит файл, и кричит что заражен сабжем... И сделать с ним ничего не получается, ни в защищенном режиме ни из под дос удалить не получается.
    файл живет тут:
    c:\windows\system32\iasad.dll
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    ConnectionServices.dll - деинсталировать - это адварэ
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     StopService('hsvpagia');
     SetServiceStart('hsvpagia', 4);
     QuarantineFile('C:\WINDOWS\system32\iasad.dll','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\kwhpwftt.dat','');
     BC_DeleteFile('C:\WINDOWS\system32\Drivers\kwhpwftt.dat');
     DeleteFile('C:\WINDOWS\system32\iasad.dll');
     DelBHO('{04360B71-111C-409C-AEE2-31E79F91280E}');
     BC_DeleteSvc('hsvpagia');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,625
    Вес репутации
    1291
    Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта http://download.drweb.com/win и установите.

  5. #4
    Junior Member Репутация
    Регистрация
    24.01.2008
    Сообщений
    7
    Вес репутации
    37
    Скрипт выполнил, файл удалился таки Спасибо!
    Не понятно как деинсталлировать ConnectionServices.dll, прошу прощения за глупый вопрос

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1696
    Попробуйте через установку\удаление программ. Где повторные логи?

  7. #6
    Junior Member Репутация
    Регистрация
    24.01.2008
    Сообщений
    7
    Вес репутации
    37
    Через панель управления нашелся и удалился. Спасибо!

  8. #7
    Junior Member Репутация
    Регистрация
    24.01.2008
    Сообщений
    7
    Вес репутации
    37
    Вот логи новые. После удаления всего и вся.
    Вложения Вложения

  9. #8
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    ConnectionServices удаляли до того как делали логи или после?

  10. #9
    Junior Member Репутация
    Регистрация
    24.01.2008
    Сообщений
    7
    Вес репутации
    37
    2 wise-wistful
    до создания логов

  11. #10
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В логах сидит.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Пофиксите в HijackThis:
    Код:
    O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    Посмотрите, что из этого нужно:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
    >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
    >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
    >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
    >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    >> Безопасность: Разрешена отправка приглашений удаленному помошнику
    Лишнее отключим.
    I am not young enough to know everything...

  13. #12
    Junior Member Репутация
    Регистрация
    24.01.2008
    Сообщений
    7
    Вес репутации
    37
    Пофиксил.
    Из служб, насколько я понимаю, не нужна ни одна.

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для rubin
    Регистрация
    15.10.2007
    Адрес
    Казань
    Сообщений
    2,934
    Вес репутации
    542
    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('mnmsrvc', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('Alerter', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.

  15. #14
    Junior Member Репутация
    Регистрация
    24.01.2008
    Сообщений
    7
    Вес репутации
    37
    сделано

  • Уважаемый(ая) Викторович, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Troyan-Gen3, 5, 7 , Troyan Pws Gamania, Autoruner, Troyan Downloader
      От snegir в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 26.10.2009, 17:23
    2. Muldrop/Troyan.Downloader/rootkit
      От Hollow в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 30.03.2009, 19:50
    3. Troyan-Downloader
      От Skytiger в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 05:16
    4. Troyan-Downloader.Win32.Small.hwc
      От sтранник в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 04:07
    5. ftpdll.exe (Troyan-Downloader.Win32.Small.hwc)
      От stinger в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 22.02.2009, 04:07

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00543 seconds with 17 queries