Заблокированы календарь и панель управления. Таким образом отключить восстановление системы не могу. При выгрузке AVP монитора - Windows вылетает - синий экран, сообщения об ошибке.
Заблокированы календарь и панель управления. Таким образом отключить восстановление системы не могу. При выгрузке AVP монитора - Windows вылетает - синий экран, сообщения об ошибке.
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.Код:F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\printer.exe O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - D:\WINDOWS\system32\vtr.dll O4 - Startup: system.exe O4 - Global Startup: autorun.exe O16 - DPF: {33331111-1111-1111-1111-615111193427} - O20 - AppInit_DLLs: D:\WINDOWS\system32\stdole32.dat
Прислать карантин согласно приложения 3 правил .Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\WINDOWS\system32\vtr.dll',''); QuarantineFile('D:\WINDOWS\system32\stdole32.dat',''); QuarantineFile('D:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('D:\Documents and Settings\alexx\Главное меню\Программы\Автозагрузка\system.exe',''); QuarantineFile('D:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe',''); QuarantineFile('D:\WINDOWS\system32\WinAvXX.exe',''); QuarantineFile('D:\WINDOWS\system32\drivers\camchal.sys',''); QuarantineFile('D:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys',''); QuarantineFile('D:\WINDOWS\system32\DRIVERS\w22n51.sys',''); QuarantineFile('D:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('d:\windows\system32\printer.exe',''); DeleteFile('d:\windows\system32\printer.exe'); DeleteFile('D:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe'); DeleteFile('D:\Documents and Settings\alexx\Главное меню\Программы\Автозагрузка\system.exe'); DeleteFile('D:\WINDOWS\system32\stdole32.dat'); DeleteFile('D:\WINDOWS\system32\vtr.dll'); DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); Deletefile('D:\WINDOWS\system32\drivers\ip6fw.sys'); DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('D:\WINDOWS\system32\drivers\runtime.sys'); DeleteFile('D:\WINDOWS\system32\WinAvXX.exe'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteRepair(6); ExecuteRepair(9); ExecuteRepair(17); RebootWindows(true); end.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12816
3. Антивирус должен быть последней версии с последними базами- что-то я вижу совсем старую версию- она уже по моему не поддерживается.
Сделайте это и просканируйте систему полностью. пункт 2 правил не помешает
4.сделать новые логи .
Последний раз редактировалось drongo; 29.09.2007 в 12:07.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Спасибо, очень помогло. KAV снес, п 2 выполнил. Надеюсь, что после установки новой АВП удалю и последний подозрительный объект.
Еще раз - спасибо.
Выполните скрипт в AVZ:
Повторите логи.Код:begin BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('ip6fw'); BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys'); BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys'); BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('D:\WINDOWS\system32\drivers\ip6fw.sys'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Как бы - все нормально. Спасибо за помощь.
Да, теперь все в порядке. Осталось пофиксить в HijackThis:
и вот с этим определиться:Код:O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe
Что нужно - скажите, остальное исправим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
В принципе - это рабочий ноутбук, для MS Office и получения электронки в командировках. Так что, если можно, то подскажите, как отключить все опасные службы. Я думаю ни одна из них не нужна.
Еще раз всем спасибо за излечение.
отключить можно так ...
выполните скрипт...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения обнаружены вредоносные программы:
- d:\\windows\\system32\\drivers\\ip6fw.sys - Trojan-Downloader.Win32.Agent.acl (DrWEB: Trojan.NtRootKit.319)
Уважаемый(ая) ckbdf, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.