Показано с 1 по 11 из 11.

Таже проблема amvo и т.д (заявка № 16682)

  1. #1
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    52
    Вес репутации
    60

    Thumbs up Таже проблема amvo и т.д

    Комп другой (на работе), поэтому создал новую тему. Не знаю, правильно или нет? Позже будет ещё третий комп.
    Вот логи.
    За ранее, спасибо.
    Последний раз редактировалось andrew70; 06.06.2008 в 15:16.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ...
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('F:\autorun.inf','');
     QuarantineFile('E:\autorun.inf','');
     QuarantineFile('C:\autorun.inf','');
     QuarantineFile('C:\WINDOWS\system32\vbsys2.dll','');
     QuarantineFile('ertghyazxstyj.sys','');
     QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
     QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');
     QuarantineFile('c:\windows\system32\startservice.exe','');
     DeleteFile('C:\WINDOWS\system32\amvo1.dll');
     DeleteFile('C:\WINDOWS\system32\wincab.sys');
     DeleteFile('C:\WINDOWS\system32\vbsys2.dll');
     DeleteFile('C:\autorun.inf');
     DeleteFile('E:\autorun.inf');
     DeleteFile('F:\autorun.inf');
      BC_QrSvc('ertghyazxstyj');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил ...
    повторите логи ...

  4. #3
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    52
    Вес репутации
    60
    Полечил.
    Вот логи.
    Высылаю карантин.
    Последний раз редактировалось andrew70; 06.06.2008 в 15:17.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пофиксите в HijackThis:
    Код:
    O16 - DPF: {33331111-1111-1111-1111-611111193423} - 
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - 
    O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    Выполните скрипт в AVZ:
    Код:
    begin
    SetAVZGuardStatus(True);
     DeleteFile('C:\m1t8ta.com');
     DeleteFile('E:\m1t8ta.com');
     DeleteFile('F:\m1t8ta.com');
     DeleteFile('C:\xn1i9x.com');
     DeleteFile('E:\xn1i9x.com');
     DeleteFile('F:\xn1i9x.com');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Посмотрите, что из этого вам нужно:
    Код:
    >> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
    >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
    >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> Безопасность: разрешен автозапуск программ с CDROM
    >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
    >> Безопасность: к ПК разрешен доступ анонимного пользователя
    Лишнее отключим.
    I am not young enough to know everything...

  6. #5
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    52
    Вес репутации
    60
    PHP код:
    >> Службыразрешена потенциально опасная служба RemoteRegistry (Remote Registry)
    >> 
    Службыразрешена потенциально опасная служба TermService (Terminal Services)
    >> 
    Службыразрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
    >> 
    Службыразрешена потенциально опасная служба Schedule (Task Scheduler)
    >> 
    Службыразрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
    >> 
    Безопасностьразрешен автозапуск программ с CDROM
    >> Безопасностьразрешен административный доступ к локальным дискам (C$, D$ ...)
    >> 
    Безопасностьк ПК разрешен доступ анонимного пользователя 
    Из этого ничего не нужно. Надо всё отключить.
    После отправлю новые логи.

  7. #6
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    Выполните в АВЗ для отключения ненужного.

    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Pa rameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun ', 0);
    SetServiceStart('RDSessMgr', 4);
    SetServiceStart('Schedule', 4);
    SetServiceStart('SSDPSRV', 4);
    SetServiceStart('TermService', 4);
    SetServiceStart('RemoteRegistry', 4);
    RebootWindows(true);
    end.
    Последний раз редактировалось wise-wistful; 24.01.2008 в 12:53.

  8. #7
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    52
    Вес репутации
    60
    Скрипт выполнил. Вот новые логи.
    Не отключились эти пункты.

    PHP код:
    >> Безопасностьразрешен автозапуск программ с CDROM
    >> Безопасностьразрешен административный доступ к локальным дискам (C$, D$ ...)
    >> 
    Безопасностьк ПК разрешен доступ анонимного пользователя 
    В карантине ничего не обнаружил.
    Последний раз редактировалось andrew70; 06.06.2008 в 15:17.

  9. #8
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1523
    выполните скрипт ....
    Код:
    begin
    ExecuteRepair(6);
    ExecuteRepair(8);
    RebootWindows(true);
    end.
    затем скрипт ... из поста 6

  10. #9
    Banned Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    18.11.2007
    Сообщений
    3,293
    Вес репутации
    0
    В логах зверей нет.

    Для отключения лишнего выполните в АВЗ.

    Код:
    begin
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(true);
    end.
    В посте № 6 при переносе влезли лишние пробелы, поэтому и не отключилось

  11. #10
    Junior Member Репутация
    Регистрация
    19.01.2008
    Сообщений
    52
    Вес репутации
    60
    При выполнении скрипта:
    PHP код:
    begin
    RegKeyIntParamWrite
    ('HKEY_LOCAL_MACHINE''System\CurrentControlSet\Services\CDROM','AutoRun'0);
    RegKeyIntParamWrite('HKEY_LOCAL_MACHINE'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
    RegKeyIntParamWrite('
    HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
    RebootWindows(true);
    end. 
    пишет ошибку:
    PHP код:
     Ошибка скрипта')' expectedпозиция [3:49
    В третей строчке перед
    PHP код:
    System 
    я добавил одну кавычку вверху.
    После этого скрипт выполнился без ошибок и всё отключилось.
    Правильно сделал?
    Спасибо.

  12. #11
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,032
    Вес репутации
    1718
    Да, всё правильно.

  • Уважаемый(ая) andrew70, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. ТАже проблема (заявка №48993)
      От CyberHelper в разделе Отчеты сервиса лечения VirusInfo
      Ответов: 2
      Последнее сообщение: 19.01.2011, 15:00
    2. таже проблема
      От vikc в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 26.12.2010, 09:01
    3. Downloader таже проблема
      От Игорь1233 в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 16.12.2009, 18:07
    4. таже проблема (вирус не удаляетса)!!!
      От kritika в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 25.10.2008, 16:35
    5. всё таже проблема со скрытыми папками
      От frost968m в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 15.01.2008, 13:11

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00810 seconds with 17 queries