-
Junior Member
- Вес репутации
- 0
Страдают екзешники часть II!
Рабочая винда у меня загнулась, при загрузке выдаёт синеву: см фотку
http://tinypic.ru/?do=view&pic=20080201153656_888.jpg
Поэтому и не стал делать скрипты.
ЕКзешнике многие отказываются запускаться, что удручает....
Avp.exe например и egui.exe.
Скаченные cureits тоже не работают.
В rar ринеймил без толку.
Однако ж мне удалось 1 запустить, переименов его при загрузке в xxxxx.xxx(вот что делает xxx животворящий!)
Атчот его прилагаю.
Щас запустил Cureit на полную!
Учитывая мои террабайные харды, это надолго.
Щас 6% тока, диск С....
Какие будут советы!?
Последний раз редактировалось Rick1; 16.02.2008 в 11:33.
Плавайте поездами Аэрофлота!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 0
Последний раз редактировалось Rick1; 14.02.2008 в 14:24.
Плавайте поездами Аэрофлота!
-
Отключите восстановление системы!
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=
O2 - BHO: flashget urlcatch - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: FlashGet GetFlash Class - {F156768E-81EF-470C-9057-481BA8380DBA} - (no file)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKCU\..\Run: [drvsyskit] C:\WINDOWS\system32\drivers\hldrrr.exe
Отключите антивирус и выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\hldrrr.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\srosa.sys','');
DeleteFile('C:\WINDOWS\system32\drivers\hldrrr.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srosa.sys');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17370).
Добавлено через 1 минуту
Проверьте, есть ли вот такой ключик в вашем реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
Последний раз редактировалось Bratez; 02.02.2008 в 15:02.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 0
Уря, хоть кто-то обратил на меня внимание!
Такой вопрос, щас КИСа сканит по полной и 62%, можно ли его остановить, чтоб он потом продолжил!?
И как!?
Плавайте поездами Аэрофлота!
-
Можно нажать ему Стоп.
Потом когда запустите снова, он предложит - продолжить или сначала начать.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 0
ОК!
Добавлено через 11 минут
Запустил КИСу, она: продолжим?
Я: ДА!
Она с начала начала, щас 1%...
Ммм?
Карантин давно выложил, а движения нет....
Последний раз редактировалось Rick1; 02.02.2008 в 20:39.
Причина: Добавлено
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
Судя по молчанию, вирей у меня нет!?
Или они такие страшныя, что никто не хочет с ними связываться!?
Ммм?
Плавайте поездами Аэрофлота!
-
Их у вас уже нет. Были, да все вышли
Какие проблемы остались?
Сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 0
Да вроде нет проблем....
Но хотелось бы узнать, откуда они лезут, вири эти богомерзские!?
Недавно ж я всё чистил и они снова вылезли..
Щель надо идетенфицировать!
Качаю я много, гигами, мулом, торрентом, DM и т.д.
Кто виноват!?
Плавайте поездами Аэрофлота!
-
Junior Member
- Вес репутации
- 0
Все логи!, следом и карантинку выкладываю.
Ммм?
Последний раз редактировалось Rick1; 14.02.2008 в 14:24.
Плавайте поездами Аэрофлота!
-
Диск E: это что? Там autorun.inf отсвечивает.
А так по-моему все чисто.
Рекомендуется отключить все что не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 0
ДИск Е обычный раздел на 300гб, autorun.inf это я работал с аутоплей меню билдер.
Службы как отключить!? Твикер есть какой?
Плавайте поездами Аэрофлота!
-
Сообщение от
Rick1
Службы как отключить!? Твикер есть какой?
Скажите, что не нужно, скрипт сделаем.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 0
Да всё не нужно в этой винде, что выше перечислено! Она ж игровая.
Плавайте поездами Аэрофлота!
-
А автоматический вход в систему. После отключения - начнёт спаршивать пароль.
-
Если конечно пароль стоит
Microsoft Most Valuable Professional in Consumer Security
-
Вобщем для отключения всего - выполняете скрипт в АВЗ.
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');
RebootWindows(true);
end.
Добавлено через 1 минуту
Сообщение от
akoK
Если конечно пароль стоит
Когда у себя отключал - начал спрашивать, хотя и пароль не стоял.
Последний раз редактировалось wise-wistful; 03.02.2008 в 18:40.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 0
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun ', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Pa rameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');
RebootWindows(true);
end.
Значит это делаю, а потом Тюне Апом обратно автовход включаю, так?
Добавлено через 1 минуту
Пароль не нужен!
Последний раз редактировалось Rick1; 03.02.2008 в 20:25.
Причина: Добавлено
Плавайте поездами Аэрофлота!
-
Если хотите оставить автоматический вход в систему, тогда выполните так
Код:
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
Я убрал из скрипта строчку отвечающую за автоматический вход в систему. Оставим как у Вас сейчас.
-
Junior Member
- Вес репутации
- 0
Ок! Делаю...
А потом в рабочую винду попробую.. Она всё синеву выдавала при загрузке.
Я её проверил Cureit и скандиском.
Добавлено через 24 минуты
Винда встретила синевой!
Загрузился через ПУЗс РП!
А КИСа опять не запустилась, екзешник в ней потерпел ущерб...
И так постоянно!
КАК можно обезопасить екзешник КИСа?
Мож папку тока чтения сделать!?
Последний раз редактировалось Rick1; 03.02.2008 в 21:17.
Причина: Добавлено
Плавайте поездами Аэрофлота!