И ещё 2 осталось...
Printable View
И ещё 2 осталось...
Здесь дела обстоят похуже.
Вот скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\DOCUME~1\C4C5~1\LOCALS~1\Temp\update.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
BC_DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\DOCUME~1\C4C5~1\LOCALS~1\Temp\update.exe');
BC_DeleteFile('C:\DOCUME~1\C4C5~1\LOCALS~1\Temp\update.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Загрузить карантин.
Сделать новые логи.
Карантин выслала
Новые логи:
Теперь все в порядке.
Рекомендуется отключить все, что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Теперь чисто. Карантин, кстати, был пустой. Значит это только следв в реестре были.
Можно еще "дырки" позакрывать. Смотрите низ лога AVZ.