-
Junior Member
- Вес репутации
- 57
Последствия заражения вирусами
Доброе время суток!
При проверке антивирусами как из нормального режима так и из безопасного, вирусов не находит, но в "Мой компьютер" появились "Веб папки" и ко всем дисками постоянно открывается общий доступ (сколько его не закрывай), к тому же, невозможно скачать любую антивирусную программу, говорит что ссылки недействительны.
Посмотрите пожалуйста.
Заранее благодарен!
Последний раз редактировалось razmus; 13.01.2011 в 11:58.
Причина: Исправление грамматической ошибки
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Доброе время суток!
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
R3 - URLSearchHook: (no name) - - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
DeleteService('hewxtju');
QuarantineFile('C:\WINDOWS\system32\03F.tmp','');
DeleteService('qrtpaxwm');
QuarantineFile('C:\WINDOWS\system32\0A.tmp','');
QuarantineFile('C:\DOCUME~1\Danila\LOCALS~1\Temp\Hhd.exe','');
DeleteFile('C:\DOCUME~1\Danila\LOCALS~1\Temp\Hhd.exe');
DeleteFile('c:\windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job');
DeleteFile('C:\WINDOWS\system32\0A.tmp');
BC_DeleteSvc('qrtpaxwm');
DeleteFile('C:\WINDOWS\system32\03F.tmp');
BC_DeleteSvc('hewxtju');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
-
-
Junior Member
- Вес репутации
- 57
Сделал новые логи, файл карантина не выложил, так как он был пустым...
-
У вас по логам виден Radmin. Сами устанавливали?
Какие именно антивирусы и откуда скачать не можете?
-
-
Junior Member
- Вес репутации
- 57
Radmin сами ставили. Антивирусы любые, тот же АВЗ, Карейт... на другой машине качал, так как браузер говорил, что "ссылка битая".
-
Выполните скрипт в AVZ:
Код:
begin
BackupRegKey('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes', 'routes');
end.
В папке АВЗ появится папка Backup, в ней папка с именем текущей даты, в ней файл routes_<цыферки>.reg
Заархивируйте его и приложите здесь.
-
-
Junior Member
- Вес репутации
- 57
Сделал. И подскажите пожалуйста, как избавиться от "Веб папки" в "Мой компьютер".
-
Сделайте лог gmer (не забыв поставить галочку на диск C и нажав Scan):
http://virusinfo.info/showthread.php?t=40118
и приложите его в теме.
-
-
Junior Member
- Вес репутации
- 57
Сделал... при первых двух попытках запустить Gmer, машина сразу перегружалась, на третий раз запустил на "только стартовавшей системе", запустился...
-
По всем логам ничего подозрительного не обнаружил.
Проверьте еще раз скачку CureIt отсюда:
http://www.freedrweb.com/cureit/
И AVZ отсюда:
http://z-oleg.com/avz4.zip
Пробуйте во всех браузерах, которые у вас установлены.
Для скрытия "Веб-папки" выполните скрипт в AVZ:
Код:
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
-
-
Junior Member
- Вес репутации
- 57
Проверил, все и отовсюду качается, но после перезагрузки общий доступ к дискам все равно открывается, типа "C$ , D$". Галочка "Использовать общий доступ к файлам" снята.
-
Это "административный доступ к локальным дискам", по умолчанию он всегда включен и это не является последствием заражения.
Но если хотите отключить, вот скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.
-