Kaspersky не может удалить. Ругается на файл c:\windows\system32\csrsr.dll . Пожайлуста, помогите! Заранее благодарю.
Printable View
Kaspersky не может удалить. Ругается на файл c:\windows\system32\csrsr.dll . Пожайлуста, помогите! Заранее благодарю.
очистите временные интернет файлы ....
отключите антивирус ...
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('3128D04F-8158-47AA-85C1-628254C3124D');
QuarantineFile('C:\WINDOWS\system32\csrsr.dll','');
DeleteFile('C:\WINDOWS\system32\csrsr.dll');
DeleteFile('C:\WINDOWS\system32\Drivers\tfkjkbuq.dat');
BC_DeleteSvc('vmeeveck');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
При отправке карантина "Невозможно отбразить страницу". Надо повторить? И еще, не понял, логи, надо вторично постить в эту же тему?
да
Вот логи после лечения. Благодарю за оперативность!
в логах чисто .... осталось разобраться
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
И как закрыть? Достаточно включить FIREWALL ???
что используется ?
В принципе в данный момент ничего из перечисленного. Домашний ПК с доступом в интернет по выделенной линии. Правда, иногда пользуюсь P2P, обмен файлами через трекер.
выполните скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Получилось так.
А С$ возможно закрыть?
По идее всё можно закрыть, я привык ;)
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
каспера желательно обновить(старую версию удалить и поставить новую )
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] это позволяeт делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\csrsr.dll - [B]Rootkit.Win32.Podnuha.y[/B] (DrWEB: Trojan.DownLoader.37561)[/LIST][/LIST]