На ноутбуке был обнаружен Win32.HLLM.Generic.440
После лечения CureIt не получается восстановить доступ к реестру и отключить автозагрузки. Наверное, есть еще что-то.
На ноутбуке был обнаружен Win32.HLLM.Generic.440
После лечения CureIt не получается восстановить доступ к реестру и отключить автозагрузки. Наверное, есть еще что-то.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\Documents and Settings\Admin\Templates\Brengkolang.com',''); QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe',''); DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe'); BC_ImportAll; BC_Activate; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); ExecuteRepair(17); RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1); RebootWindows(true); end.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=19329
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe"
Сделал, не помогло, проблема осталась.
И похоже, распростарняется - проверил сейчас через AVZ свой компьютер (в одной сети с тем ноутбуком), также оказались разрешены автозапуски, сделал исправление, не помогло
Не помогло в том отношении, что снова делаю проверку, и опять разрешены автозапуски, отмечаю их, жму "Исправить отмеченные проблемы", AVZ говорит, что отмеченные проблемы устранены, снова жму на "Пуск", и снова вылазят авозапуски.
Что интересно, в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Pol icies\Explorer NoDriveTypeAutoRun=0xFF, а автозапуск работает! Втыкаю диск с автозапуском - запускается.
Последний раз редактировалось KonstS; 07.03.2008 в 11:41.
Профиксить надо бы:
F2 - REG:system.ini: Shell=explorer.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Пофиксил, реестр разблокирован. Остался автозапуск, про него прочитаю здесь http://virusinfo.info/showthread.php?t=17442
Правда с автозапуском все равно до конца непонятно - вроде бы если его AVZ исправил, то при следующей проверке автозапуска уже не должно быть в списке проблем, а он остается. Что-то восстанавливает значения?
Угу. Параметры в системе заданы под MountPoints2 - AVZ их (пока) не трогает. Возможно в будущем это положение изменится. Система MountPoints2 полностью обходит политику автозапуска.
Сначала повторите логи. Как только хелперы дадут зелённый цвет, надо бы удалить все ключи MountPoints2 из реестра (они восстанавливаются, но ключи уже чистыми будут). Потом можно применить трюки указаны в вами приведённой теме.
Paul
Сейчас попробовал воспользоваться на своем компьютере скриптом из поста 43 http://virusinfo.info/showthread.php?t=17442&page=3, AVZ перестал находить проблему автозапуска. Диск и autorun с флешки не запускаются.
Чужие скрипты - это чревато. Лучше уж самостоятельно через мастер устранения проблем AVZ.
Это не скрипт, pig. Пользователь Virtual выложил текст рег-файла для того, чтобы избавиться от авторанов.
@ KonstS:
Это не текст скрипта AVZ.
Делайте так: Мой Комп - Сервис - Свойства папки.
Открыть вкладку Вид и отключить опцию 'Скрывать расширения для зарегистрированных типов файлов' (Снять галочку).
Открыть Блокнот, вставить текст туда и сохранить как файл .reg
Допустим назвать можно так: anti-autorun.reg
P.S.: Вообще-то, в сообщении №6 я вас попросил повторять логи. Дело в том, что вы зря стараетесь если всё ещё присутствуют зловреды у вас в системе - тогда, возможно, отредактировать реестр не удастся.
Paul
Последний раз редактировалось XP user; 07.03.2008 в 19:58.
Последний раз редактировалось KonstS; 07.06.2010 в 16:16.
выполните скрипт ...
virusinfo_syscheck.zip - повторите ...Код:begin DeleteFile('C:\Documents and Settings\Admin\Templates\Brengkolang.com'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
удалите в планировщике задание At1.job ....
больше ничего подозрительного ...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) KonstS, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.