Junior Member
Вес репутации
60
Troyan.Downloader.37561
Доброго всем времени суток!
Вторую неделю не могу убить гадскую зверюгу, Доктор Беб находит файл, и кричит что заражен сабжем... И сделать с ним ничего не получается, ни в защищенном режиме ни из под дос удалить не получается.
файл живет тут:
c:\windows\system32\iasad.dll
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
ConnectionServices.dll - деинсталировать - это адварэ
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('hsvpagia');
SetServiceStart('hsvpagia', 4);
QuarantineFile('C:\WINDOWS\system32\iasad.dll','');
QuarantineFile('C:\WINDOWS\system32\Drivers\kwhpwftt.dat','');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\kwhpwftt.dat');
DeleteFile('C:\WINDOWS\system32\iasad.dll');
DelBHO('{04360B71-111C-409C-AEE2-31E79F91280E}');
BC_DeleteSvc('hsvpagia');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Установленный на компьютере DrWeb устарел, скачайте новую версию 4.44 с сайта http://download.drweb.com/win и установите.
Junior Member
Вес репутации
60
Попробуйте через установку\удаление программ. Где повторные логи?
Junior Member
Вес репутации
60
Через панель управления нашелся и удалился. Спасибо!
Junior Member
Вес репутации
60
Вот логи новые. После удаления всего и вся.
Вложения
ConnectionServices удаляли до того как делали логи или после?
Junior Member
Вес репутации
60
2 wise-wistful
до создания логов
Пофиксите в HijackThis:
Код:
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
Посмотрите, что из этого нужно:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Пофиксил.
Из служб, насколько я понимаю, не нужна ни одна.
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Junior Member
Вес репутации
60