Здравствуйте, УВАЖАЕМЫЕ!
Помогите пожалуйста разобраться с этой заразой...После лечения Доктором Вебом (удаление) вирус появляется после перезагрузки ...
Printable View
Здравствуйте, УВАЖАЕМЫЕ!
Помогите пожалуйста разобраться с этой заразой...После лечения Доктором Вебом (удаление) вирус появляется после перезагрузки ...
1.В avz [URL="http://virusinfo.info/showthread.php?t=7239"]выполнить скрипт[/URL]:
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('%WinDir%\Temp\startdrv.exe','');
QuarantineFile('%Windir%\system32\drivers\runtime.sys','');
QuarantineFile('%Windir%\system32\drivers\runtime2.sys','');
QuarantineFile('%Windir%\system32\drivers\ip6fw.sys','');
DeleteFile('%Windir%\Temp\startdrv.exe');
DeleteFile('%Windir%\system32\drivers\runtime2.sys');
DeleteFile('%Windir%\system32\drivers\runtime.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
QuarantineFile('C:\WINDOWS\csrss.exe','');
DeleteFile('C:\WINDOWS\csrss.exe');
QuarantineFile('C:\WINDOWS\system32\svch6j4.dll',' ');
DeleteFile('C:\WINDOWS\system32\svch6j4.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
Компьютер перезагрузится.
2.Выслать карантин согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL]
[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]
После перезагрузки [URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксить[/URL] в HiJackThis
[CODE]
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch6j4.dll
[/CODE]
И повторите логи
Вот это сами устаналивали:
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
Если нет, то надо профиксить.
@zerocorporated Лучше разбивать на два скрипта: первый для удаления runtime & Co, второй для всех остальных. runtime & Co иногда вешают БСОД на SetAVZGuardStatus(True);
Сделал всё как Вы написали - выполнил скрипт, но профиксить
O4 - HKLM\..\Policies\Explorer\Run: [system] C:\WINDOWS\csrss.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\svch6j4.dll
не смог, так как этих позиций в HiJackThis
не было...а это
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
профиксил. Проверяю Вебом - опять находит РоутКит. Может нужно еще что то подправить...Высылаю логи и карантин.
P.S.После перезагруки (скипта) винда выдала "explorer.exe - обнаружена ошибка" и черный экран...После резета вроде загрузилась...Помогите пожалуйста...
пофиксите ...
[code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys ');
BC_DeleteSvc('ip6fw');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
Сделал всё как Вы написали. Высылаю логи...посмотрите пожалуйста как там и что...
Все чисто. Можно пофиксить строчку:
[code]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
[/code]
Посмотрите, что из этого списка вам нужно:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.
Можно оставить
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
а остальное можно отключить...
Отключаем:
[CODE]begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.[/CODE]
СПАСИБО ВАМ ОГРОМНОЕ!!!