И dr. web и AVZ находят и удаляют вирус VBS. Small.a снова и снова...А он все так и сидит.
Printable View
И dr. web и AVZ находят и удаляют вирус VBS. Small.a снова и снова...А он все так и сидит.
[url]http://virusinfo.info/showthread.php?t=1235[/url]
Логи:
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('MicrosoftHelp', 4);
StopService('MicrosoftHelp');
QuarantineFile('F:\autorun.inf','');
QuarantineFile('autorun.bat','');
QuarantineFile('C:\WINDOWS\system32\SVCH0ST.EXE','');
QuarantineFile('c:\distr\bx_memo\bx_memo\bx_memo.exe','');
DeleteFile('C:\WINDOWS\system32\SVCH0ST.EXE');
DeleteFile('autorun.bat');
DeleteFile('F:\autorun.inf');
DeleteFile('D:\autorun.bat');
DeleteFile('D:\autorun.vbs');
DeleteFile('D:\autorun.inf');
DeleteService('MicrosoftHelp');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17694[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE] F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
[/CODE]
[size="1"][color="#666686"][B][I]Добавлено через 41 секунду[/I][/B][/color][/size]
Повторите логи
[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]
p.s. ОТЛЮЧИТЕ ВОСТАНОВЛЕНИЕ СИСТЕМЫ
Карантин отправлен.
Неудалось пофиксить в HijackThis следующие строчки ( [URL]http://virusinfo.info/showthread.php?t=4491[/URL] )
Код:
F2 - REG:system.ini: UserInit=userinit.exe,autorun.bat
- не нашла кода в списке :O. Не там ищу?
Новые логи:
c:\distr\bx_memo\bx_memo\bx_memo.exe - чистый.
Поищите при помощи АВЗ Сервис--Поиск файлов на диске [b]RavMon.exe[/b] если найдётся, загрузите по правилам.
Что такое у Вас [b]D:[/b] и [b]F:[/b]?
Что-либо из этого используется
[quote]>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/quote]
АВЗ Сервис не находит файл [B]RavMon.exe[/B] на диске.
[B]D:[/B] и [B]F: - флешки[/B]
Из перечиленного используется наверное только:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Комп домашний, локальный.
[quote=chuirina;184973] >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)[/quote]
Если комп домашний, [b]chuirina[/b] то тогда это вам точно не нужно - достаточно рискованно, так как относится к доступу [b]извне[/b]. Кто пользуется этой дырой будет иметь полный доступ к вашему компу...
[quote]>> Безопасность: разрешен автозапуск программ с CDROM[/quote]
Это только КАЖЕТСЯ удобный функционал. На самом деле много беды от этого свойства. Конечно ваше дело, но я это тоже отключил бы. :)
Paul
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]10[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]