SAV выводит сообщение о нахождении трояна. Посмотрите, пожалуйста, логи.
SAV выводит сообщение о нахождении трояна. Посмотрите, пожалуйста, логи.
Последний раз редактировалось ghostil; 11.03.2008 в 11:09.
Выполнить:
Загрузить карантин.Код:begin BC_QrFile('d:\windows\system32\wupdsvc1.exe'); BC_QrFile('d:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('d:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('d:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('d:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('d:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('d:\windows\system32\wupdsvc1.exe'); BC_DeleteFile('d:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_Activate; RebootWindows(true); end.
Сделать новые логи.
Последний раз редактировалось drongo; 25.10.2007 в 11:16.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
он мне пишет:"Too many actual parameters в позиции 2:11"
Добавлено через 43 минуты
поэтому не могу выполнить данный скрипт
Последний раз редактировалось ghostil; 25.10.2007 в 11:11. Причина: Добавлено
поправил и проверил, ошибок нет
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
теперь стали рассылаться письма с этого компьютера!:-(
Добавлено через 1 минуту
а у меня не идёт. Не знаете, с чем это может быть связано?
Последний раз редактировалось ghostil; 25.10.2007 в 11:20. Причина: Добавлено
Карантина не прислал, логи не сделал.
Не знаем, что сейчас творится у Вас.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
так я же не могу указанный Вами скрипт сделать!Он мне ошибку выдаёт. Я тогда сейчас сделаю логи заново и пришлю карантин.
Скрипт поправил Drongo. Извини, ошибочка вкралась.
Нужно его выполнить, а потом логи делать.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот выкладываю новые логи.
Последний раз редактировалось ghostil; 11.03.2008 в 11:09.
закачал карантин
продолжим:
Прислать новый карантин.Код:begin ClearQuarantine; SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('d:\temp\winlogon.exe',''); DeleteFile('d:\temp\winlogon.exe'); BC_DeleteFile('d:\temp\winlogon.exe'); DeleteFile('D:\WINDOWS\Temp\startdrv.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Сделать еще раз логи.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
карантин закачала, сейчас логи выполняю!
Trojan-Proxy.Win32.Small.gw (по Касперскому) удалили.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Отлично!Вот новые логи!
Последний раз редактировалось ghostil; 11.03.2008 в 11:09.
AVZPM надо установить. Перезагрузиться и сделать лог из п.8. Будем смотреть кто прячется.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
вот установил AVZPM. Посмотрите, пожалуйста, новые логи!
Последний раз редактировалось ghostil; 11.03.2008 в 11:09.
Все у вас в порядке.
Осталось для профилактики отключить ненужное из этого списка:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
И отключить AVZPM.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
спасибо огромное!:-)
Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.