Printable View
Добрый день. Позволю себе еще раз вас побеспокоить. Успел заразить свой комп через флешку. Погонял его через АВЗ. Но сомнение осталось. Дрянь под именем ntde1ect.com и различные вариации avpoO.exe при поддержке autorun.inf очень живучи. Возможно я где то и ошибся. Будте любезны - нет ли где хвостов?
Благодарю заранее
В логах практически чисто.
Пофиксите строчку:
[code]O2 - BHO: (no name) - {3C6FE25B-66E7-43ce-9EF0-4B25F4F44C64} - (no file)[/code]
Пришлите C:\WINDOWS\FotkiContext23.dll, он уже есть в карантине AVZ.
И вот это посмотрите:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Ненужное лучше отключить.
Пофиксил, отослал, из списка все ненужно.
Благодарю - вы сняли камень с моей души, уж очень цепкий зловред попался. А уж как он на носителях маскируется!....
Присланный файл чистый.
Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Если вы в локальной сети с использованием общего доступа к файлам и принтерам - уберите первую строчку после begin.
Спасибо.