-
Junior Member
- Вес репутации
- 61
Trojan и лишиние администраторских прав
Здравствуйте.
Проблема следующая:
У меня стоит антивирусная программа Symantec AntiVirus, он выдает мне наличие 4 троянов, НО удалить их он не может.
Я попытался установить другой антивирус, но тут оказалось что у меня теперь нет прав администратора....и поэтому я не могу удалять программы. (нет доступа к панели инструментов).
На компьютере всего один пользователь. При просмотре учетной записи видно.... что админ.права на него прописаны, но в реале их нет.
Плюс постоянно (где то каждые 2 минуты) вылетает сообщение Windows Security Alert "Warning! Potential Spyware Operation!"
Надеюсь на вашу помощь.
С уважением, Алексей
Последний раз редактировалось Tsar; 01.06.2008 в 12:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\printer.exe
O4 - HKLM\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - HKCU\..\Run: [WinAVX] C:\WINDOWS\system32\WinAvXX.exe
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\printer.exe','');
QuarantineFile('C:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('C:\Program Files\Common Files\AVSystemCare\bm.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('C:\Program Files\Internet Access\InetAccess.exe','');
QuarantineFile('C:\Documents and Settings\Tsar\Главное меню\Программы\Автозагрузка\system.exe','');
DeleteFile('C:\Documents and Settings\Tsar\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('C:\WINDOWS\system32\WinAvXX.exe');
DeleteFile('C:\WINDOWS\system32\printer.exe');
BC_ImportALL;
ExecuteSysClean;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(11);
ExecuteRepair(13);
ExecuteRepair(16);
ExecuteRepair(17);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Все файлы выслал по правилам.
Панель управления вернулась.
Спасибо запомощь!
А что нужно делать чтобы такая ситуация не повторилась?
Последний раз редактировалось Tsar; 01.06.2008 в 12:51.
-
Было: not-virus:Hoax.Win32.Fera.i
Пофиксите в HijackThis (этой программы все равно уже нет) :
Код:
O4 - HKLM\..\Run: [Salestart] "C:\Program Files\Common Files\AVSystemCare\bm.exe" dm=http://avsystemcare.com; ad=http://avsystemcare.com
Папку C:\Program Files\Common Files\AVSystemCare удалите.
Можно также пофиксить ввиду полной ненужности вот эти:
Код:
O4 - HKLM\..\Run: [FineReader7NewsReaderPro] "C:\Program Files\ABBYY FineReader 7.0 Professional Edition\AbbyyNewsReader.exe"
O4 - HKLM\..\Run: [HP Software Update] "C:\Program Files\HP\HP Software Update\HPWuSchd2.exe"
Добавлено через 3 минуты
Сообщите, используете ли вы что-то из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что не нужно - отключим.
Последний раз редактировалось Bratez; 20.10.2007 в 14:26.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Вот эти опции можно отключить.
-
Вот скрипт для отключения:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Система вроде бы теперь работает ок!!!
Большое Спасибо!!!!