-
Junior Member
- Вес репутации
- 62
Не могу избавиться от вирусов
Снова обращаюсь к вам за помощью.
Антивирус обнаруживает вирусы, но избавиться от них не может. Постоянно удаляет файл deflib.exe. Внешних проявлений не замечаю, разве что частое зависание Эксплорера.
Логи прикрепляю.
Дополнительный вопрос: при выполнении скриптов автоматически проверялся только диск С. У меня временные интернет-файлы сохраняются на другом диске и на нем же установлены некоторые программы. Надо ли что-то делать дополнительно?
Последний раз редактировалось Natrix; 15.12.2007 в 13:35.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1. AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
Код:
begin
QuarantineFile('c:\windows\system32\inetsrv\inetinfo.exe','');
QuarantineFile('\SystemRoot\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINDOWS\system32\ASWLSVC.exe','');
QuarantineFile('c:\docume~1\sergey~1\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\sergey~1\locals~1\temp\winlogon.exe');
BC_DeleteSvc('FCI');
BC_DeleteSvc('RasAutoTlntSvr');
BC_DeleteSvc('wuauservTlntSvr');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RebootWindows(true);
end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12546
2. Чистить временные файлы нужно
Антивирус ваш уже морально устарел и не поддерживается Удалить и поставить последнею версию.
3.
Насчёт ваших дырок в системе:
Код:
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что используется? остальное поможем закрыть.
-
-
Junior Member
- Вес репутации
- 62
Скрипт выполнен, файл отправлен.
Сообщение от
drongo
Что используется? остальное поможем закрыть.
Знать бы еще, что это и для чего Тогда смогу понять, что используется. Можете помочь?
Добавлено через 3 часа 31 минуту
Сейчас добавилась новая проблема. На форумах авторизация работает, а в различных панелях управления на сайтах - нет. В саму панель зайти могу - авторизация срабатывает, но при попытке что-либо сделать снова требует авторизации.
Последний раз редактировалось Natrix; 18.09.2007 в 15:39.
Причина: Добавлено
-
ну если сетка(несколько компов ), то это оставить:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
А если один комп, то всё можно закрыть. Максимум, если что перестанет работать скажите, исправить легко.
насчёт авторизации- может куки перекрыты ?
firefox поставь и настрой- будет счастье
Добавлено через 2 минуты
файлы отправили на анализ.
Последний раз редактировалось drongo; 18.09.2007 в 15:51.
Причина: Добавлено
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
drongo
ну если сетка(несколько компов ), то это оставить:
насчёт авторизации- может куки перекрыты ?
У меня беспроводная сеть с ноутбуком. Как удалить ненужное?
Куки не были запрещены. Не работает авторизация только там, где нет опции "Входить автоматически при каждом посещении".
А вирус по-прежнему лезет
-
Выполните такой скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Сообщение от
Bratez
Выполните такой скрипт
Обязательно в безопасном режиме?
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 21.12.2007 в 11:02.
-
Поищите с помощью AVZ такой файл:
C:\WINDOWS\LogWatNT.exe
Если найдется - пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
-
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 21.12.2007 в 11:02.
-
Выполните такой скрипт:
Код:
begin
BC_DeleteSvc('aspnet_stateRpcLocator');
BC_DeleteSvc('aspnet_stateRpcLocatorClipSrv');
BC_DeleteSvc('FCI');
BC_DeleteSvc('MSWinLogonProcService');
BC_DeleteSvc('NlaNetlogon');
BC_DeleteSvc('RasAutoTlntSvr');
BC_DeleteSvc('wuauservTlntSvr');
BC_DeleteSvc('LogWatch');
BC_Activate;
RebootWindows(true);
end.
Сделайте новый лог HijackThis.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 21.12.2007 в 11:02.
-
Больше ничего плохого не вижу.
Проблема все еще проявляется? Как именно?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Спасибо! Пока больше никаких проявлений. Авторизация на сайтах тоже работает.
Нужно ли закрыть какие-то службы и как это сделать?
Что у меня было?
Добавлено через 47 секунд
Скажите, есть ли необходимость в смене паролей?!
Последний раз редактировалось Natrix; 19.09.2007 в 12:13.
Причина: Добавлено
-
Лишние службы уже отключили (см. сообщение 6).
Был Trojan-Proxy.Win32.Small.fz и ошметки чего-то другого.
Пароли на всякий случай смените.
I am not young enough to know everything...
-
-
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
-