Вирусы (kuz)

Добрый день.
Это уже второй компьютер... (мамай клянус, завтра снесу долбанный Symantec и поставлю NOD!)
Комп очень сильно тормозит (загрузка CPU 100%), ну и Symantec нашёл кучу вирусов (а толку-то...)

Выполните:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\DOCUME~1\3\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\SRTSPL.SYS','');
QuarantineFile('C:\WINDOWS\system32\drivers\wpsdrvnt.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS','');
DeleteFile('C:\DOCUME~1\3\LOCALS~1\Temp\winlogon.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportAll;
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code]
Карантин пришлите сюда - [url]http://virusinfo.info/upload_virus.php?tid=16605[/url]
Пофиксьте в HJT если останется:
[code]O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\3\LOCALS~1\Temp\winlogon.exe[/code]

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Похоже на файловый вирус. Запишите на здоровом компьютере CureIt! на компакт диск и проведите лечение с компакт-диска. Затем скачайте новую AVZ

[URL="http://virusinfo.info/showthread.php?t=16604"]Это[/URL] другой компьютер?

To [B]Maxim [/B]
Да, другой.

То [B]rubin[/B]
Продиагностировал CureIt, скачал AVZ заново...
Вот новые логи:

-----------------
Карантин выслал:
Файл сохранён как 080120_075702_virus_4793532e58b20.zip
Размер файла 36922
MD5 c0060444b5c3bda134d01349a8391d32

Сейчас проверяю диск С: (NOD32), в корне какой-то файл hiberfil.sys
NOD его не может проверить (файл заблокирован)
Что это может быть за файл?

hiberfil.sys - файл для сохранения состояния при переходе в спящий режим. Если таковой не применяется, можете отключить его через Панель управления - Электропитание, и файлик будет ликвидирован.

В логах все ОК.
Сообщите, что из этого нужно, остальное отключим:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]

(Служба обнаружения SSDP) - я даже не знаю что это такое... :)
"к ПК разрешен доступ анонимного пользователя" - если все члены WORKGROUP ходят под одним именем, да ещё и без пароля, это нужно оставить?

[QUOTE=Grower;175295](Служба обнаружения SSDP) - я даже не знаю что это такое... :)[/QUOTE][url]http://www.oszone.net/2568/[/url]

Понял... Отключаем и SSDP...

[quote]если все члены WORKGROUP ходят под одним именем, да ещё и без пароля, это нужно оставить?[/quote]
Да, это оставим. Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]

Спасибо!