AVZ подозревает троян...После подключения к Интернет через некоторое время компьютер начинает что-то бешено скачивать...dr.Web что-то нашел, но после этого ничего не изменилось...
Printable View
AVZ подозревает троян...После подключения к Интернет через некоторое время компьютер начинает что-то бешено скачивать...dr.Web что-то нашел, но после этого ничего не изменилось...
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\ansiq.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
DeleteFile('C:\WINDOWS\system32\ansiq.exe');
BC_ImportALL;
BC_QrSvc('Winmermndbd');
BC_QrSvc('FCI');
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=17174[/url]).
Сделайте новые логи.
Выкладываю новые логи...
Все отлично.
Пофиксите в HijackThis:
[code]
O4 - HKUS\S-1-5-18\..\Run: [] (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [] (User 'Default user')
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Winmermndbd');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Посмотрите, нужно ли вам что-либо из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.
А что из этого не нужно на домашнем компьютере?
Почти ничего. Вот скрипт:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
(Оставил автозапуск CD и анонимный доступ).
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]12[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\svchost.exe - [B]Trojan.Win32.Pakes.bvu[/B] (DrWEB: Trojan.DownLoader.37508)[*] c:\\windows\\system32\\ansiq.exe - [B]Backdoor.Win32.IRCBot.bgz[/B] (DrWEB: BackDoor.IRC.Sdbot)[*] c:\\windows\\system32\\..\\svchost.exe - [B]Trojan.Win32.Pakes.bvu[/B] (DrWEB: Trojan.DownLoader.37508)[/LIST][/LIST]