Помогите очистить комп от вирусов и понять окуда они появляются

[Marygold]

Помогите очистить комп от вирусов, а также скажите, окутда они появляются. человек не пользуется флэшками, но жалуется, что "получает" вирусы с электронной почтой.

[Bratez]

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\admparsem.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17064).

[Marygold]

Спасибо, карантин отправила.
Скажите пожалуйста откуда могут взяться эти вирусы и что делать в дальнейшем чтобы они не появлялись?

[Bratez]

Файл в карантине подозрительный, но однозначного детекта нет.
Подождем ответа от вирлаба.

А пока посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему

Лишнее отключим.

откуда могут взяться эти вирусы и что делать в дальнейшем чтобы они не появлялись?

1. Из интернета, вестимо
2. Своевременно ставить заплатки на Windows, обновлять антивирус почаще, не посещать сомнительные сайты, не открывать всякую чепуху из почты...

[V1t0]

Файл в карантине - Trojan.Win32.Pakes.caq.

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\admparsem.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

[Bratez]

После скрипта сделайте логи, начиная с п.10 правил.

[Marygold]

Все равно нашел снова вирус -(

[Bratez]

Все равно нашел снова вирус

Угу. В карантине ДрВеба
Удалите папку:
C:\Documents and Settings\Пользователь\DoctorWeb\Quarantine

Больше ничего плохого в логах нет.

Посмотрите, нужно ли вам что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему

Лишнее отключим.

[Marygold]

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

вот эти можно отключить

[V1t0]

Скрипт для отключения перечисленных служб:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
end.

После перезагрузки они не запустятся.

[Marygold]

Спасибо, сделала.

[V_Bond]

в карантине ....
viruss.exe_ - Trojan.Win32.KillFiles.op
нужно найти и удалить ....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 10
• В ходе лечения вредоносные программы в карантинах не обнаружены