Посмотрите логи и подскажите как с этой заразой бороться
Посмотрите логи и подскажите как с этой заразой бороться
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\System32\drivers\runtime2.sys'); BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_QrFile('c:\windows\system32\autopartnt.dll'); BC_QrFile('c:\windows\system32\mailspectre.exe'); BC_QrFile('c:\windows\system32\pcanotify.dll'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys'); BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('c:\windows\system32\mailspectre.exe'); BC_DeleteFile('c:\windows\system32\autopartnt.dll'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_Activate; RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12059
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
повторите логиКод:O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\autopartnt.dll (file missing)
Последний раз редактировалось Muzzle; 31.08.2007 в 14:43.
все сделал
Пофиксите в HijackThis:
Поищите вручную через AVZ файл PCANotify.dll.Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
Если найдется - пришлите по правилам.
I am not young enough to know everything...
Пофиксил и PCANotify.dll выслал
Опять его нет, только ini файл.PCANotify.dll выслал
Добавлено через 2 минуты
Очевидно это файл от PC AnyWhere, так что подозрения снимаются.
Больше ничего в логах "интересного" нет.
Добавлено через 3 минуты
Вот с этим еще надо разобраться:
Сообщите, если что-то из этого используете. Остальное поправим.Код:8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> разрешена потенциально опасная служба TermService (Службы терминалов) >> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 03.09.2007 в 09:36. Причина: Добавлено
I am not young enough to know everything...
нужно:
автозапуск с CD
административный доступ к локальным дискам
доступ анонимного пользователя
поправляем
выполните скрипт ....
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 8
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) altar, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.