Здравствуйте!.. прошу у вас помощи..
антивирус мой Avast, как только выхожу в интернет говорит, что с компа идёт рассылка одинаковых писем и в большом количестве, ничего не помогает... помогите пожалуйста..
Printable View
Здравствуйте!.. прошу у вас помощи..
антивирус мой Avast, как только выхожу в интернет говорит, что с компа идёт рассылка одинаковых писем и в большом количестве, ничего не помогает... помогите пожалуйста..
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
QuarantineFile('\??\C:\WINDOWS\system32\ke32psag.sys','');
QuarantineFile('\??\C:\WINDOWS\system32\DefLib.sys','');
QuarantineFile('c:\docume~1\758d~1\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\758d~1\locals~1\temp\winlogon.exe');
DeleteFile('\??\C:\WINDOWS\system32\DefLib.sys');
BC_DeleteSvc('FCI');
BC_DeleteSvc('DefLib');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
прислал... вроде... :?
[b]Trojan-Dropper.Win32.Agent.cqt[/b] C:\Documents and Settings\огго\Local Settings\Temp\winlogon.exe
[b]Rootkit.Win32.Agent.ow[/b] C:\WINDOWS\system32\ke32psag.sys
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
BC_DeleteFile('\??\C:\WINDOWS\system32\ke32psag.sys');
BC_Activate;
RebootWindows(true);
end.[/code]
Затем поищите через AVZ (Сервис - Поиск файлов на диске) i386kd.exe, добавьте в карантин и пришлите
не смог найти такого файла нигде...
сделайте новые логи ...
Вот. Высылаю.
в логах чисто ...
почистим мусор ....
[code]
begin
DelAutorunByFileName('C:\WINDOWS\system32\i386kd.exe');
SysCleanAddFile('C:\WINDOWS\system32\i386kd.exe');
ExecuteSysClean;
end.
[/code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
Что не нужно?
если честно не знаю, я не всё понимаю, что там написано... планировщиком заданий вроде не пользовался никогда и диспетчером сенаса справки для удалённого рабочего стола а про остальное понятия не имею что это... :embarasse
локальная сеть есть ?
нет... но в принципе возможность появления не исключена
выполните скрипт...
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
спасибо, я так понял это блокируются эти функции а их восстановить можно будет если что?
Можно :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\огго\\local settings\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Agent.cqt[/B] (DrWEB: Trojan.Spambot.2496)[*] c:\\docume~1\\758d~1\\locals~1\\temp\\winlogon.exe - [B]Trojan-Dropper.Win32.Agent.cqt[/B] (DrWEB: Trojan.Spambot.2496)[*] c:\\windows\\system32\\ke32psag.sys - [B]Rootkit.Win32.Agent.ow[/B] (DrWEB: Trojan.PWS.GoldSpy)[/LIST][/LIST]