карантин оказался пустым. А новый лог - вот
карантин оказался пустым. А новый лог - вот
еще разок в Safe Mode:
Код:begin ClearQuarantine; SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\WINDOWS\system32\drivers\acpidisk.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\acpidisk.sys'); ExecuteSysClean; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Все сделала. В карантине пусто. Касперский по-прежнему обнаруживает троян
C:\WINDOWS\system32\cscript.dll Backdoor.Win32.Hupigon.aqy
еще такой скрипт ....
повторите логи ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\cscript.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
скрипты выполнила. Вот логи
Нужен еще разок доп. лог.
Плюс надо закрывать дырки в системе.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Вот лог. Какие дырки и как их закрыть?
Лог последний чистый.
Что из этого не используется? Можно написать скрипт чтобы закрыть, либо делайте сами.
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо за помощь. Со службами я сама справлюсь. А может еще объясните, как этот cscript в ОП загружался? Откуда у него ноги растут?
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\cscript.dll - Backdoor.Win32.Hupigon.aqy (DrWEB: Trojan.DownLoader.33452)
- c:\\windows\\system32\\drivers\\mountmsg.sys - Trojan.Win32.Agent.bok (DrWEB: Trojan.DownLoad.390
Уважаемый(ая) Tasha9, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.