Граждане,спасители! Постарался испонить всё по правилам. три файла прилагаю.
Спасибо
Граждане,спасители! Постарался испонить всё по правилам. три файла прилагаю.
Спасибо
Последний раз редактировалось timur_kotamov; 16.10.2007 в 13:07.
Выполнить скрипт:
Загрузить карантин.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\usr64.dll',''); QuarantineFile('C:\WINDOWS\system32\amcis.dll',''); BC_DeleteFile('C:\WINDOWS\system32\usr64.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо за оперативность!
файло высылаю.
Последний раз редактировалось timur_kotamov; 11.10.2007 в 12:38.
Еще разок логи сделай. Будем смотреть что осталось лишнего.
Карантин пуст.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
прошу прошения за задержку.
Последний раз редактировалось timur_kotamov; 16.10.2007 в 13:08.
пофиксите...
выполните скрипт...Код:O2 - BHO: CIEStub Class - {EBBFE27C-BDF0-11D2-BBE5-00609419F467} - C:\WINDOWS\system32\amcis.dll (file missing)
Омскэнерго_о модернизации КУЭ.doc - что это делает в автозапуске ?Код:begin DeleteFile('C:\WINDOWS\system32\amcis.dll'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
выполнил! а что это за подозрительный элемент (amcis.dll)?
Омскэнерго_о модернизации КУЭ.doc - это моё! напоминание о необходимости читать этот документ
жаль! ну да ладно. ну можно хотя бы примерно.
я вообще-то аккуратный юзвер, а вот как у меня получилось так заразиться понять не могу. от куда могут "ноги расти" этой заразины (usr64.dll).
ЗЫ. кстати какие-нить действия ещё нужны для окончательного выздоровления?
Нужно еще раз сделать все логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
направляю логи, согласно требованиям
в логах чисто ...
осталось разобраться с этим ...
что вам необходимо остальное поможеи закрыть ...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
"+" открыто; "-" закрыто.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) -
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) -
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений) +
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) +
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) -
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) - (а что это?) -
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! (у меня ЛВС компании)
>> Безопасность: разрешен автозапуск программ с CDROM -
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) +
>> Безопасность: к ПК разрешен доступ анонимного пользователя -
>> Безопасность: Разрешены терминальные подключения к данному ПК +
>> Безопасность: Разрешена отправка приглашений удаленному помошнику - (и что это?) -
Спасибо огромное за, оказываемую вами, помощь.
Выполнить:
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Спасибо!
но что же всё таки это такое "Диспетчер сеанса справки для удаленного рабочего стола", ?
oszone.ru - там есть раздел по всем сервисам ХР.
Точную ссылку не дам, искать долго.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) timur_kotamov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.