Комп другой (на работе), поэтому создал новую тему. Не знаю, правильно или нет? Позже будет ещё третий комп.
Вот логи.
За ранее, спасибо.
Комп другой (на работе), поэтому создал новую тему. Не знаю, правильно или нет? Позже будет ещё третий комп.
Вот логи.
За ранее, спасибо.
Последний раз редактировалось andrew70; 06.06.2008 в 15:16.
выполните скрипт ...
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('F:\autorun.inf',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\vbsys2.dll',''); QuarantineFile('ertghyazxstyj.sys',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\system32\amvo1.dll',''); QuarantineFile('c:\windows\system32\startservice.exe',''); DeleteFile('C:\WINDOWS\system32\amvo1.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\WINDOWS\system32\vbsys2.dll'); DeleteFile('C:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('F:\autorun.inf'); BC_QrSvc('ertghyazxstyj'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
повторите логи ...
Полечил.
Вот логи.
Высылаю карантин.
Последний раз редактировалось andrew70; 06.06.2008 в 15:17.
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-611111193429} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {33331111-1131-1111-1111-611111193428} -
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\m1t8ta.com'); DeleteFile('E:\m1t8ta.com'); DeleteFile('F:\m1t8ta.com'); DeleteFile('C:\xn1i9x.com'); DeleteFile('E:\xn1i9x.com'); DeleteFile('F:\xn1i9x.com'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Посмотрите, что из этого вам нужно:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
I am not young enough to know everything...
Из этого ничего не нужно. Надо всё отключить.PHP код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
После отправлю новые логи.
Выполните в АВЗ для отключения ненужного.
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Pa rameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun ', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Последний раз редактировалось wise-wistful; 24.01.2008 в 12:53.
Скрипт выполнил. Вот новые логи.
Не отключились эти пункты.
В карантине ничего не обнаружил.PHP код:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Последний раз редактировалось andrew70; 06.06.2008 в 15:17.
выполните скрипт ....
затем скрипт ... из поста 6Код:begin ExecuteRepair(6); ExecuteRepair(8); RebootWindows(true); end.
В логах зверей нет.
Для отключения лишнего выполните в АВЗ.
В посте № 6 при переносе влезли лишние пробелы, поэтому и не отключилосьКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RebootWindows(true); end.
При выполнении скрипта:
пишет ошибку:PHP код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
В третей строчке передPHP код:
Ошибка скрипта: ')' expected, позиция [3:49]
я добавил одну кавычку вверху.PHP код:
System
После этого скрипт выполнился без ошибок и всё отключилось.
Правильно сделал?
Спасибо.
Да, всё правильно.
Уважаемый(ая) andrew70, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.