Посмотрите логи и подскажите как с этой заразой бороться
Printable View
Посмотрите логи и подскажите как с этой заразой бороться
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
BC_QrFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_QrFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_QrFile('c:\windows\system32\autopartnt.dll');
BC_QrFile('c:\windows\system32\mailspectre.exe');
BC_QrFile('c:\windows\system32\pcanotify.dll');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('c:\windows\system32\mailspectre.exe');
BC_DeleteFile('c:\windows\system32\autopartnt.dll');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12059[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O2 - BHO: (no name) - {36DBC179-A19F-48F2-B16A-6A3E19B42A87} - c:\windows\system32\autopartnt.dll (file missing)[/CODE]
повторите логи
все сделал
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
Поищите вручную через AVZ файл [B]PCANotify.dll[/B].
Если найдется - пришлите по правилам.
Пофиксил и PCANotify.dll выслал
[QUOTE]PCANotify.dll выслал[/QUOTE]
Опять его нет, только ini файл.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
Очевидно это файл от PC AnyWhere, так что подозрения снимаются.
Больше ничего в логах "интересного" нет.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
Вот с этим еще надо разобраться:
[code]
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/code]
Сообщите, если что-то из этого используете. Остальное поправим.
нужно:
автозапуск с CD
административный доступ к локальным дискам
доступ анонимного пользователя
поправляем
выполните скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]8[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]