еще раз логи для контроля...
еще раз логи для контроля...
вот последние логи
выполните скрипт ....
пришлите карантин согласно приложения 3 правил ....Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\is-M84GB.exe',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
в папке с виндой нет такого файла C:\WINDOWS\is-M84GB.exe
карантин после выполнения скрипта пуст..
попробуйте так поискать ....
AVZ - сервис- поиск файлов на диске ...
поиск через AVZ ничего не дал.
вот логи еще раз..
последняя попытка ... попробуйте выполнить скрипт в SAFE MODE ...
и в safe mode не ловится..
пофиксите....
повторите лог... hijackthisКод:O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-M84GB.exe" /REG
это могло быть что то от работающего аутпоста или панды?..я их тогда забыл отключить..извините.
вот лог хайджека
больше ничего зловредного не вижу... если проблем нет лечение можно считать завершенным...
чем из этого пользуетесь ? остальное поможем закрыть ...
Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
ничем из этого не пользуюсь..)
тогда выполните скрипт...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); end.
скрипт выполнен без ошибок. на горизонте все чисто)
О Г Р О М Н О Е С П А С И Б О В С Е М В А М!!!
З. Ы.: интересно, для борцов со зловредами какие-нить особые бонусы карма предусмотрела?)
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 9
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\tcpip.sys - Trojan.Win32.Patched.ao (DrWEB: BackDoor.Groan)
- c:\\windows\\system32\\spooldr.sys - Email-Worm.Win32.Nulprot.e (DrWEB: Trojan.NtRootKit.375)
Уважаемый(ая) Cloudberry, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.