Есть ли возможность вылечить архив с книгой?

[Hall]

Здравствуйте!

При сканировании дисков, компьютер нашел подозрения на вирусы (лог с информацией прикреплен ниже)

Как с помощью программы AVZ очистить диски и по возможности восстановить книгу

D:\Potter\Books\English\Англ яз\

Благодарю заранее за помощь

[V_Bond]

virusinfo_cure.zip -карантин уберите из темы ..
выполните скрипт...( файл - выполнить скрипт скопируйте и нажмите запустить-компьютер перегрузится)

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\Bookshelf.TR\TRBookshelf_.dll.button.js','');
 QuarantineFile('C:\WINDOWS\system32\ietoolbar.dll','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин по ссылке ... http://virusinfo.info/upload_virus.php?tid=12543

[Hall]

Простите, я случайно прикрепил карантин, хотел сам удалить, но не сразу разобрался, как это сделать.

Спасибо

[V_Bond]

нажмите кнопку правка затем зайдите в расширенный режим ...

[Hall]

Ну да, спасибо, я же уже всё сделал. Разве нет?

[PavelA]

D:\Sys\Программы\sms.exe - Win32:StartPage-187 (Avast!)
Живет она у Вас на всех дисках. Нужно удалять.

Больше ни на что подозрений нет. Такое ощущение, что Ваши книги чистые.

[Hall]

А удалять, насколько я понимаю, программой AVZ? Вставляю в скрипт путь D:\Sys\Программы\sms.exe F:\Sys\Программы\sms.exe и т.д., и нажимаю "Выполнить скрипт"?

И ещё, простите, вопрос, наверно, дурацкий, но это меня очень беспокоит.
Я когда раньше сканил NOD`ом, у меня периодически появлялись вирусы на D и F в папке System Volume Information

Например, такие:
Файл F:\System Volume Information\_restore{D563D4FE-D17A-4050-BE9F-CB2A1914E8BC}\RP105\A0060482.exe инфицирован вероятно модифицированный Win32/Agent троян.

А вызывано это было? как мне написал NOD, вот этим

Событие произошло в файле модифицированном приложением. C:\WINDOWS\System32\svchost.exe. Файл был перемещен в карантин.

Мне сказали, что svchost.exe. - отвратительная штука. Но чем бы я ни сканил C:\WINDOWS\System32, даже AVZ - ничего не показывает.

Могу я не волноваться по этому поводу?

[PavelA]

F:\System Volume Information - папка, где хранятся данные по восстановлению системы. Вы его отключили, папка должна была очиститься.
Удалять sms.exe будем? Сейчас подготовлю скриптик для него.
Скрипт для удаления:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);

DeleteFile('F:\Sys\Программы\sms.exe');
DeleteFile('D:\Sys\Программы\sms.exe');

ExecuteSysClean;
RebootWindows(true);
end.

А скрипт, который V_Bond Вы не выполнили? Карантина после него я не наблюдаю. Сделайте его, плс.

[Hall]

Спасибо огромное! Конечно, будем! Только я сейчас на работе, а любимый компьютер - дома. Как приду - первейшим делом буду все скрипты выполнять! Сначала который V_Bond , а потом sms.exe.

Добавлено через 6 часов 32 минуты

Ну вот, я выполнил оба скрипта. Но возникла проблема. После выполнения первого, который V_Bond - у меня не получилось карантина В папке Log - только старые, которые я уже высылал. Тольков папке Quarantine появилась новая папка 2007-09-18. Но она не архив. Или это её надо заархивировать? И выслать?

[V_Bond]

Приложение 3. Как прислать запрошенные файлы.

1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы... вот она . http://virusinfo.info/upload_virus.php?tid=12543

[Hall]

Спасибо огромное! Всё сделал.
Если только я правильно выполнил пункт 2.
Я отметил все файлы, которые были предложены после "Просмотра карантина".

[V_Bond]

по VirusTotal
c:\Bookshelf.TR\TRBookshelf_.dll.button.js чистый ...
C:\WINDOWS\system32\ietoolbar.dll чистый ...
повторите логи ...

[Hall]

Простите, не было инета Только сейчас дали. Всё сделал, как Вы сказали. Вот логи и карантин.

[Muzzle]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  ClearQuarantine;
  QuarantineFile('yes.exe','');
  DeleteFile('D:\RECYCLER\NPROTECT\00004106.exe');
  DeleteFile('F:\RECYCLER\NPROTECT\00000006.exe');
  DeleteFile('C:\Documents and Settings\HP\Рабочий стол\sms.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12543

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

что из этого вам нужно?остальное пофиксим

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

файлы из папок с книгами чистые

[Hall]

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
  ClearQuarantine;
  QuarantineFile('yes.exe','');
  DeleteFile('D:\RECYCLER\NPROTECT\00004106.exe');
  DeleteFile('F:\RECYCLER\NPROTECT\00000006.exe');
  DeleteFile('C:\Documents and Settings\HP\Рабочий стол\sms.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12543

2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

что из этого вам нужно?остальное пофиксим

файлы из папок с книгами чистые

Как всегда, огромное спасибо

Первые два пункта я, конечно же, выполнил. Но у меня возникли затруднения вот с этим Вашим вопросом:

"что из этого вам нужно?остальное пофиксим"

Не могу сказать, что совсем уж полный идиот в компах, но на то, чтобы ответить на этот вопрос, моей квалификации, явно, не хватает Пытался спросить у нашего сисадмина на работе, но даже он затруднился мне помочь Могу сказать только, что компьютер - домашний.

[drongo]

Если домашний и нет других компьютеров дома, то можно всё позакрывать, я так сделал и не жалуюсь особо
Вот этот скрипт (AVZ) это сделает:

Код:

begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты (Firefox и Opera это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": http://security-advisory.newmail.ru

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : http://virusinfo.info/showthread.php?t=3519
Мы будем Вам очень благодарны!

[Hall]

drongo, огрмное спасибо

Насчёт базы безопасных файлов. Я всё собрал, хотел закачать, но там написано, что максималный размер закачиваемого файла - 20 М, а у мен файл получился 42,3. Что делать?

[pig]

Разделить на три архива.

[Hall]

Спасибо большое за ту помощь, которая была оказана.

Поясните пжл, если отключить службы как указано в скрипте выше, что это за службы и для чего они используются?

[PavelA]

http://www.oszone.net/windows/winxp/...s/services.zip - ссылочка на описание всех служб. THK rene-gad за ссылку.