-
Junior Member
- Вес репутации
- 61
Засел вирус намертво 2 (в ноуте)...
Вообще-то у нас для каждого компьютера нужна отдельная тема, что бы не путаться.
Выполните в АВЗ
Код:
beginSearchRootkit(true, true);SetAVZGuardStatus(True); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll','') ; QuarantineFile('C:\Documents and Settings\Anastasia\Главное меню\Программы\Автозагрузка\Reboot.exe',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\autorun.inf');BC_ImportAll;ExecuteS ysClean;BC_Activate;RebootWindows(true);end.
Загрузите карантин согласно правил.
Повторите логи.
ОК!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Если начала исправлять ошибку, то до конца ! Оттуда удалить логи , и сюда прикрепить.
-
-
Junior Member
- Вес репутации
- 61
выполнила все, карантин уже отослала, а логи вот они
Последний раз редактировалось nasya; 24.11.2008 в 23:17.
-
С помощью АВЗ Сервис--Поиск файлов на диске поищите usdeiect.com. Если найдёте отправьте по правилам.
C:\Documents and Settings\Anastasia\Главное меню\Программы\Автозагрузка\Reboot.exe - not-a-virus:RiskTool.Win32.Reboot.e
C:\autorun.inf - Worm.Win32.AutoRun.bhx
Посему выполните в АВЗ.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Anastasia\Главное меню\Программы\Автозагрузка\Reboot.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
end.
Профиксите
Код:
O4 - Startup: Reboot.exe
Повторите логи
-
Junior Member
- Вес репутации
- 61
usdeiect.com не нашелся. Скрипт выполнила. После этого профиксить не получилось, т.к. нужного кода (O4 - Startup: Reboot.exe) там не оказалось.
Логи повторила, отправляю.
Надеюсь порадуете
Последний раз редактировалось nasya; 24.11.2008 в 23:17.
-
В логах чисто.
Посмотрите, нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Лишнее отключим.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Честно - не знаю. Мне такой вопрос уже задавали, когда мы мой первый комп лечили. Сошлись на том, что раз комп не в сети и доступа анонимных пользователей не требуется, то на ваше усмотрение отключить что не надо в данном случае. Так что, слушаюсь вас. Что скажите, то и сделаю, лишь бы комп работал мне на радость
-
Тогда вот вам скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
(оставил только автозапуск CD).
I am not young enough to know everything...
-