После лечения CureIt, avz продолжает ругаться на некоторые файлы. Посомтрите пожалуйста.
Printable View
После лечения CureIt, avz продолжает ругаться на некоторые файлы. Посомтрите пожалуйста.
sptd.sys - это Daemon Tools.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\Excellence.dll','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll','');
QuarantineFile('C:\WINDOWS\system32\BICR_ADM.DLL','');
QuarantineFile('C:\Program Files\Common Files\CFT Shared\RC\rcupd.dll','');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Карантин выслал.
Файл сохранён как 071122_055626_virus_47456e6a9458f.zip
Размер файла 210327
MD5 aefa6bbb2ea63efa1deb616a04671b3b
По карантину подождем вердикта ЛК, есть кое-что подозрительное...
Пока сделайте новый лог HijackThis.
Вот.
В этом логе чисто
avz00001.dta, avz00002.dta - not-a-virus:AdWare.Win32.FunWeb.f
хотя почему-то в базы пока не добавили, наверное работы много.
Пофиксите в HijackThis:
[code]
O16 - DPF: {2AF0C7B1-9389-11D8-869A-0020ED529CEE} (HTTPFileCtl Class) - https://83.219.12.98/RSPortal/StartHTML/HTTPFile.cab
O16 - DPF: {E9B3E692-7AA4-11D5-857A-0000B4503751} (Excellence Class) - https://83.219.12.98/RSPortal/StartHTML/Excellence.cab
[/code]
Выполните скрипт в AVZ:
[code]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll');
DeleteFile('C:\WINDOWS\Downloaded Program Files\Excellence.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Ну и для профилактики вот это посмотрите:
[code]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что вам не нужно - отключим.
Да вроде все не нужны
Вот скрипт (автозапуск CD оставил):
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
[COLOR=red]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
[/COLOR]RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Если есть локалка с общим доступом к файлам и принтерам, красную строчку из скрипта уберите.
А как назад включить службы?
Команда скрипта:
SetServiceStart('имя_службы', 2);
включает тип запуска Авто...
А проще запустить services.msc, там все удобно и понятно.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]14[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]