Заблокированы календарь и панель управления. Таким образом отключить восстановление системы не могу. При выгрузке AVP монитора - Windows вылетает - синий экран, сообщения об ошибке.
Printable View
Заблокированы календарь и панель управления. Таким образом отключить восстановление системы не могу. При выгрузке AVP монитора - Windows вылетает - синий экран, сообщения об ошибке.
1.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )[code]F2 - REG:system.ini: Shell=Explorer.exe D:\WINDOWS\system32\printer.exe
O2 - BHO: IEHlprObj Class - {ABCDECF0-4B15-11D1-ABED-709549C10000} - D:\WINDOWS\system32\vtr.dll
O4 - Startup: system.exe
O4 - Global Startup: autorun.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O20 - AppInit_DLLs: D:\WINDOWS\system32\stdole32.dat[/code]
2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\WINDOWS\system32\vtr.dll','');
QuarantineFile('D:\WINDOWS\system32\stdole32.dat','');
QuarantineFile('D:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('D:\Documents and Settings\alexx\Главное меню\Программы\Автозагрузка\system.exe','');
QuarantineFile('D:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe','');
QuarantineFile('D:\WINDOWS\system32\WinAvXX.exe','');
QuarantineFile('D:\WINDOWS\system32\drivers\camchal.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\HSF_CNXT.sys','');
QuarantineFile('D:\WINDOWS\system32\DRIVERS\w22n51.sys','');
QuarantineFile('D:\WINDOWS\system32\drivers\runtime2.sys','');
QuarantineFile('d:\windows\system32\printer.exe','');
DeleteFile('d:\windows\system32\printer.exe');
DeleteFile('D:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\autorun.exe');
DeleteFile('D:\Documents and Settings\alexx\Главное меню\Программы\Автозагрузка\system.exe');
DeleteFile('D:\WINDOWS\system32\stdole32.dat');
DeleteFile('D:\WINDOWS\system32\vtr.dll');
DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
Deletefile('D:\WINDOWS\system32\drivers\ip6fw.sys');
DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
DeleteFile('D:\WINDOWS\system32\drivers\runtime.sys');
DeleteFile('D:\WINDOWS\system32\WinAvXX.exe');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(17);
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12816[/url]
3. Антивирус должен быть последней версии с последними базами- что-то я вижу совсем старую версию- она уже по моему не поддерживается.
Сделайте это и просканируйте систему полностью. пункт 2 правил не помешает ;)
4.сделать новые логи .
Спасибо, очень помогло. KAV снес, п 2 выполнил. Надеюсь, что после установки новой АВП удалю и последний подозрительный объект.
Еще раз - спасибо.
Выполните скрипт в AVZ:
[code]begin
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('ip6fw');
BC_DeleteFile('D:\WINDOWS\System32\drivers\runtime.sys');
BC_DeleteFile('D:\WINDOWS\system32\drivers\runtime2.sys');
BC_DeleteFile('D:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('D:\WINDOWS\system32\drivers\ip6fw.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Повторите логи.
Как бы - все нормально. Спасибо за помощь.
Да, теперь все в порядке. Осталось пофиксить в HijackThis:
[code]
O4 - HKLM\..\Run: [startdrv] D:\WINDOWS\Temp\startdrv.exe[/code]
и вот с этим определиться:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что нужно - скажите, остальное исправим.
В принципе - это рабочий ноутбук, для MS Office и получения электронки в командировках. Так что, если можно, то подскажите, как отключить все опасные службы. Я думаю ни одна из них не нужна.
Еще раз всем спасибо за излечение.
отключить можно так ...
выполните скрипт...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\drivers\\ip6fw.sys - [B]Trojan-Downloader.Win32.Agent.acl[/B] (DrWEB: Trojan.NtRootKit.319)[/LIST][/LIST]