не попасть в реестр!

Printable View

22.01.2008, 15:17
Antonnio

не попасть в реестр!

удалил с компа NTOS.EXE, пофиксил в хайджеке, комп стал работать ощутимо шустрее, но по прежнему не дает попасть в реестр...
восстановление настроек в хайджеке не помогло...
вот логи...
поможите плиз, без вас пока не получается до конца справляться с вирусами самому...
22.01.2008, 15:51
Макcим

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\msconf.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('F:\msconf.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]Загрузите карантин согласно приложению №3 правил.

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Повторите логи.
22.01.2008, 16:19
Antonnio

феноменально! Заработало. И доступ к реестру открылся.
сейчас будет карантин и логи.

[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]

в карантин правда ни ntos ни msconf.exe не попали, но попал какой-то другой файлик...
22.01.2008, 16:30
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\avipit.exe','');
QuarantineFile('C:\WINDOWS\system32\msg32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16794[/url]).
22.01.2008, 16:38
Antonnio

Файл сохранён как 080122_073707_virus_4795f18386c33.zip
Размер файла 2911
MD5 b96fcedb8e26be7b3f98ab9eed5b49a7

и логи соответственно...
22.01.2008, 16:43
Antonnio

Файл сохранён как 080122_074238_virus_4795f2ce61563.zip
Размер файла 19625
MD5 969e8e70e11c9cba4fe38a2d858ff0d1

это на скрипт Братца...
там тот же файл что и в первом случае + новый один...
22.01.2008, 16:46
Bratez

Поищите [b]C:\WINDOWS\system32\drivers\avipit.exe[/b], если найдется - пришлите по правилам.
22.01.2008, 16:50
Antonnio

к сожалению ни обычным способом, ни через AVZ этого файла не нашел...
22.01.2008, 17:00
Bratez

Более ничего подозрительного в логах нет.
Осталось отключить все что вам не нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
и можно спать спокойно ;)
22.01.2008, 17:03
Antonnio

разрешен автозапуск программ с CDROM
вот пожалуй только это нужно...

[size="1"][color="#666686"][B][I]Добавлено через 52 секунды[/I][/B][/color][/size]

спасибо за помощь!
22.01.2008, 17:04
V_Bond

для успокоения моей совести ....(если эта штука есть, она очень не хорошая а если нет , то хуже не будет ;) )
выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\avipit.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
[/code]
22.01.2008, 17:13
Antonnio

DeleteFile('C:\WINDOWS\system32\drivers\avipit.exe);
тут видимо апостраф еще нужен перед последней строчкой...
22.01.2008, 17:14
V_Bond

поправил ...
22.01.2008, 17:17
Antonnio

выполнил, каким скриптом мне службы не нужные отключить?
22.01.2008, 17:38
Bratez

[quote=Antonnio;176568]каким скриптом мне службы не нужные отключить?[/quote]
Вот:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]