Антивирус Касперского ругается на startdrv.exe, rundll32.exe, iexplore.exe
Printable View
Антивирус Касперского ругается на startdrv.exe, rundll32.exe, iexplore.exe
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
QuarantineFile('C:\WINDOWS\system32\hhupd.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('ati2paag.dll','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('ati2paag.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
3.Повторите логи.
Скрипт выполнил
Результат положительный
Карантин выслал
Логи прилагаю
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
И нужно разобраться с этим:
[CODE]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
[/CODE]
Что из этого нужно ?
Какие сейчас проблемы остались ?
Еще вот эту строчку пофиксите:
[code]O20 - Winlogon Notify: ati2paag - C:\WINDOWS\[/code]
Скрипт выполнил
Строчку пофиксил
Со службами разберусь
На данный момент никаких проблем не наблюдается
Большое спасибо zerocorporated и Bratez за оперативное решение моей проблемы
Рекомендуется прочитать книгу [URL="http://security-advisory.newmail.ru/EBook.htm"]"Безопасный Интернет Универсальная защита для Windows ME – Vista"[/URL]
Вы можете отблагодарить нас оказав помощь в [URL="http://virusinfo.info/showthread.php?t=3519"]пополнении базы безопасных файлов[/URL].
Повторите логи.
У вас было: Trojan-Proxy.Win32.Agent.po, Rootkit.Win32.Agent.jp
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]17[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.jp[/B] (DrWEB: Trojan.NtRootKit.422)[*] c:\\windows\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Agent.po[/B] (DrWEB: Trojan.Packed.147)[/LIST][/LIST]