-
Junior Member
- Вес репутации
- 61
Прошу помощи...
Здравствуйте, УВАЖАЕМЫЕ! Прошу помочь избавиться от некой заразы, засевшей на моей машинке. Доктор Веб при проверке показывает несколько видов троянов, удаляет их, но после перезагрузки гадость появляется снова...
ПОМОГИТЕ ПОЖАЛУЙСТА!
Заранее очень благодарен и признателен!
P.S.Только пожалуйста не трогайте програму NetAdmin (это админская прога, она мне нужна), так как АВЗ я смотрю определяет её как что то нехорошее...
Последний раз редактировалось PADRE; 16.04.2008 в 13:59.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите ..
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
выполните скрипт...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ScLoadEx.dll','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил....
-
-
Junior Member
- Вес репутации
- 61
Сделал все как Вы написали...Высылаю новые логи и карантин...посмотрите пожалуйста как и что...
[moderated - пришлите карантин согласно приложения 3 правил....]
Последний раз редактировалось PADRE; 16.04.2008 в 13:59.
-
Вы прислали карантин? Что-то я его не вижу.
-
-
Junior Member
- Вес репутации
- 61
Сори...уже выслал...в первый раз неправильно сделал...извините..
-
Получен. Ждите ответа аналитиков.
-
-
присланный файл чистый ....
сделайте лог ..
http://virusinfo.info/showthread.php?t=10387
-
-
Junior Member
- Вес репутации
- 61
Высылаю логи, если я Вас конечно правильно понял...
Последний раз редактировалось PADRE; 16.04.2008 в 13:59.
-
вы поняли неправильно .... внимательно прочитайте ссылку
-
-
Junior Member
- Вес репутации
- 61
Извините...Уже вроде должно быть правильно...
Последний раз редактировалось PADRE; 16.04.2008 в 13:59.
-
у вас есть локальная сеть ?
-
-
Junior Member
- Вес репутации
- 61
-
такое ощущение что у вас что-то лезет через расшаренные ресурсы ...
попробуйте отключиться временно от сети ... и посмотрите будут появляться зловреды ....
-
-
Junior Member
- Вес репутации
- 61
Вы имеете ввиду отключиться от локалки или инета? А может быть такое, что заражен еще какой то комп в сети и от него лезет зараза через расшаренные ресурсы?
-
от локалки ....
А может быть такое, что заражен еще какой то комп в сети и от него лезет зараза через расшаренные ресурсы
....
да именно это я и имел ввиду ...
-
-
И это посмотрите:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешено использование ActiveX, не помеченных как безопасные
>>> Безопасность: В IE разрешена загрузка подписанных элементов ActiveX без запроса
>>> Безопасность: В IE разрешена загрузка неподписанных элементов ActiveX
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
Все что вам не нужно будем отключать.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
В принципе можно оставить следующее:
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
А остальное в общем мне не надо...
-
тогда так ...
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1001', 1);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 61
Ok. Спасибо Вам огромное, буду делать то, что написали.