После обнаружения DR.WEB этих файлов (ip6fw.sys smtpdrv.sys) и удаления их они появляются заново после перегрузки.
Как избавиться от них?
Printable View
После обнаружения DR.WEB этих файлов (ip6fw.sys smtpdrv.sys) и удаления их они появляются заново после перегрузки.
Как избавиться от них?
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
BC_DeleteFile('E:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime.sys');
BC_DeleteFile('E:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('E:\WINDOWS\system32\drivers\runtime.sys');
BC_DeleteFile('E:\WINDOWS\Temp\startdrv.exe');
BC_DeleteSVC('runtime2');
BC_DeleteSVC('runtime');
BC_DeleteSVC('ip6fw');
BC_Activate;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, сделайте новые логи.
Спасибо огромное, больше не обнаружено вирусов в компьютере.
Пофиксите в HijackThis:
[code]
O4 - HKLM\..\Run: [startdrv] E:\WINDOWS\Temp\startdrv.exe[/code]
и сообщите, что нужно из этого:
[code]
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
остальное поправим.
Ничего из указанного списка не нужно.
Тогда вот скрипт для поправки:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
* Если компьютер в локальной сети с использованием доступа к файлам и принтерам, уберите из скрипта вторую строчку после begin (где [i]RestrictAnonymous[/i]).