-
Junior Member
- Вес репутации
- 59
Проверка после чистки.
Доброго времени суток.
Вот принесли машинку из тайников сердца, основной зверинец вытравила, - хотелось бы чтобы проверили насколько качественно.
К сожелению в студенты мну пока не приняли :-( так что только по наитию.
Не решенные проблемы на данный момент
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Выполнение:
AVZ >Мастер устранения проблем > системные проблемы > все проблемы > устранить.
Не помогло
Скрипт из темы http://virusinfo.info/showthread.php?t=17442 (как обезопаситься от Авторанов)
procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Win dows\CurrentVersion\Policies\Explorer','NoDriveAut oRun', 4);
end;
begin
DisableAutorun;
end.
Не помогло
С Уважением St.Elena
Последний раз редактировалось Lamer; 04.08.2008 в 20:53.
Искомый обьект всегда находится в стопке снизу, поиск путем переворачивания стопки, не ускоряет процесс...
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Нужно выполнить такой скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Sable\WINNT\startnt.bat','');
QuarantineFile('C:\WINDOWS\svchost.exe','');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
И проверить карантин - пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=25784 ).
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 59
Карантин пуст, создала ручками, навсякий случай приложила, HaspNT.sys который запускает этот батник. Помоему это принадлежит ключу 1С.
Я ранее проверила его на virustotal.com
http://www.virustotal.com/ru/analisi...df449bb3bffb91
Файл сохранён как 080703_044403_startnt_486c9f6335a89.zip
Размер файла 6297
MD5 b154eb26b8a06450ddaf81bed6e0a36d
Файл 'C:\WINDOWS\svchost.exe' по данному пути отсутствует (проверяла ранее), вероятно снесен кем-то ранее. Искала разными способами.
Добавлено через 12 минут
Строку C:\WINDOWS\svchost.exe пофиксила
Вложения чето глючат... или мну тупит.
Последний раз редактировалось Lamer; 03.07.2008 в 14:14.
Причина: Добавлено
Искомый обьект всегда находится в стопке снизу, поиск путем переворачивания стопки, не ускоряет процесс...
-
Junior Member
- Вес репутации
- 59
Последний раз редактировалось Lamer; 04.08.2008 в 20:53.
Искомый обьект всегда находится в стопке снизу, поиск путем переворачивания стопки, не ускоряет процесс...
-
Скрипт выполняли? Что-то запись в атозагрузке трояна так и осталась.
Выполните тогда такой скрипт:
Код:
begin
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RegKeyStrParamWrite('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load', ' ');
RebootWindows(false);
end.
И сделайте новые логи.
-
-
HaspNT.sys, startnt.bat чистые
-