[LEFT]Kaspersky Internet Security 7.0 находит файл c:\windows\system32\btwiaex.dll, но не может его удалить.
Прошу помочь в решении проблемы.
Заранее спасибо.[/LEFT]
Printable View
[LEFT]Kaspersky Internet Security 7.0 находит файл c:\windows\system32\btwiaex.dll, но не может его удалить.
Прошу помочь в решении проблемы.
Заранее спасибо.[/LEFT]
отключите восстановление системы очистите временные интернет файлы ....
отключите антивирус ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\fzizafbi.dat','');
QuarantineFile('C:\WINDOWS\system32\BtWiaEx.dll','');
DeleteFile('C:\WINDOWS\system32\BtWiaEx.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\fzizafbi.dat');
DelBHO('{1F460357-8A94-4D71-9CA3-AA4ACF32ED8E}');
DelBHO('{8A183787-A232-4AC6-A057-124C9371D335}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Спасибо за помощь.
Отослал карантин. Вроде бы вирус удалился.
Чисто. Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Ничего из вышеперечисленного мне не нужно.
буду рад избавиться от всего.
[code]begin
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.[/code]
Большое спасибо за помощь.
Теперь всё в порядке :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\helen_\\local settings\\temporary internet files\\content.ie5\\kdqj0xaf\\installer[1].exe - [B]Trojan-Spy.Win32.BZub.buz[/B] (DrWEB: Trojan.MulDrop.16569)[*] c:\\system volume information\\_restore{678f62de-6c36-4593-b0c6-685ed8f56abc}\\rp54\\a0010154.exe - [B]Trojan-Spy.Win32.BZub.buz[/B] (DrWEB: Trojan.MulDrop.16569)[*] c:\\windows\\system32\\btwiaex.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[*] c:\\windows\\system32\\drivers\\fzizafbi.dat - [B]Rootkit.Win32.Agent.tw[/B] (DrWEB: Trojan.NtRootKit.511)[/LIST][/LIST]