Профиксил.
Спасибо.
Отправляю логи.
Профиксил.
Спасибо.
Отправляю логи.
Похоже логи АВЗ старые.
Выполнить:
Прислать карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('Qolf46.sys',''); DeleteFile('Qolf46.sys'); BC_DeleteFile('Qolf46.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Опять все живы.
Выполните скрипт:
После перезагрузки второй:Код:begin SearchRootkit(false, true); RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Qolf46', 'Start'); RebootWindows(true); end.
Далее запускайте WinSockFix, нажимайте кнопку Fix.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\Drivers\Qolf46.sys'); DeleteFile('C:\WINDOWS\system32\t3.dll'); DeleteFile('C:\WINDOWS\system32\vtr.dll'); DelSPIByFileName('t3.dll',true); BC_ImportALL; BC_DeleteSvc('Qolf46'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
После перезагрузки сделайте новые логи.
I am not young enough to know everything...
Спасибо.
Я выполнил два скрипта высылаю логи.
Жду ответа.
Убийство прошло успешно.
Закрываем дырки:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
и выписываемся. В смысле, лечение будет закончено.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Большой респект и огромное СПАСИБО!
Высылаю карантин.
Обнаружен монитор какой-то.
Это в System Restore. Можно отключить "Восст. системы" и это удалитьсся навсегда.
Потом после перезагрузки можно снова включить.
Да, еще вот что. Надо будет почистить папку "Quarantine" у AVZ, а то антивирус может на нее ругаться.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 4
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\t3.dll - Trojan-Proxy.Win32.Agent.ql (DrWEB: Trojan.Proxy.2355)
- c:\\windows\\system32\\vtr.dll - Hoax.Win32.Renos.lq (DrWEB: Trojan.Fakealert.357)
- \\t3.dll - Trojan-Downloader.Win32.Agent.dth (DrWEB: Trojan.Sespy)
Уважаемый(ая) MoloT, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.