не видно скрытые файлы+

Printable View

26.02.2008, 03:07
downpunk

Вложений: 4

не видно скрытые файлы+

ситуация такая... стоял нод32 постоянно обновлялся работал отлично... принес левую флешку... сопстно ее я не проверил (думал запищит если вирусы будут)... после перезагрузки компьютера появились автораны в корне локальных дисков... полечил нодом все локальные... удалил автораны тоталкомандером... знакомый посоветовал проверить троянремувером.. установил - ничего не показал... теперь нод ругается на один из файлов троянремувера...
в архиве wtf.rar лежат скрины... nod32 - не понятно почему нельзя полечить этот "вирус"... virus - сегодня с утра появилось это окно при запуске системы - просто висит не закрывается само - система не тормозит...
скрытые файлы видеть не могу - ставлю радиокнопку на "показывать" - жму ок - не видно - в настройках радиокнопка сама сбросилась на "непоказывать"
вопросы:
1. как увидеть скрытые файлы
2. как сделать чтоб нод автоматом сканировал запускаемые файлы/флешки при использовании
3. стоит ли в дальнейшем использовать нод или лучше поставить другой антивирус?
спасибо
26.02.2008, 03:21
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
O3 - Toolbar: (no name) - {82315A18-6CFB-44a7-BDFD-90E36537C252} - (no file)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll (file missing)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0802_upd232001.exe','');
DeleteFile('C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0802_upd232001.exe');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=18676[/url]).

[b]Скачайте свежую версию AVZ - 4.29 и обновите ей базы[/b].
Сделайте новые логи.
26.02.2008, 05:47
downpunk

Вложений: 3

готово
26.02.2008, 06:24
Muzzle

Ничего подозрительного в логах нет.
выполните скрипт
[CODE]begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
end.[/CODE]

Что из этого Вам нужно? остальное поправим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
26.02.2008, 14:12
downpunk

[quote=Muzzle;193380]Что из этого Вам нужно? остальное поправим[/quote]
я хз) ну наверна авторан сд) ну админ-доступ тоже наверное...
скрытые файлы появились, спасибо :) у друга тоже не видно скрытых файлов ему последний скрипт после лечения заюзать и появятся?
26.02.2008, 14:18
Bratez

Вот вам скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Другу следует заюзать AVZ и HijackThis с целью получения логов и создать отдельную тему, ибо неизвестно, что там у него обитает ;).
26.02.2008, 14:19
PavelA

От друга лучше логи приложить в другую тему. М.б. что-то у него еще водится.
26.02.2008, 15:32
downpunk

[quote=Bratez;193541]Вот вам скрипт для отключения ненужного:
...Другу следует заюзать AVZ и HijackThis с целью получения логов и создать отдельную тему, ибо неизвестно, что там у него обитает ;).[/quote]
скрипт сделал... ситуация такая... мы группой (15+ человек) в универе принесли ноут и принесли флешки скидывали всем кое что.. в результате у большинства такие же симптомы как у меня... при чем у всех стоят антивирусы разные (и вебер и нод и каспер)... есть же какие то универсальные средства борьбы без использования вашего сайта?
[quote=downpunk;193352]...2. как сделать чтоб нод автоматом сканировал запускаемые файлы/флешки при использовании
3. стоит ли в дальнейшем использовать нод или лучше поставить другой антивирус?[/quote]
вопросы открыты :)
26.02.2008, 16:03
rubin

1. Универсальных методов нет.
2. Надо бы отключить автозапуск со съемных носителей ([url]http://virusinfo.info/showthread.php?t=16459[/url])
3. [url]http://virusinfo.info/showthread.php?t=1550[/url]
26.02.2008, 16:29
downpunk

ладна.. всем спасибо)
этот скрипт можно заюзать на других компах после их лечения, чтоб, если я правильно понял, скрытые файлы увидеть?
[code]begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
end.[/code]
26.02.2008, 16:34
PavelA

Если только удален файл, прописанный в autorun.inf, на всех жестких дисках.

Лучше поступить так: при помощи КуреИт + AVZ пролечить ВСЕ флешки на одном компьютере, а уже затем не спеша, не используя флешек (запись лекарства (КуреИт + AVZ + HJ) на СД с длаьнейшим копированием на жесткий диск), пролечить остальные.
26.02.2008, 16:53
downpunk

[quote=PavelA;193608]Если только удален файл, прописанный в autorun.inf, на всех жестких дисках.

Лучше поступить так: при помощи КуреИт + AVZ пролечить ВСЕ флешки на одном компьютере, а уже затем не спеша, не используя флешек (запись лекарства (КуреИт + AVZ + HJ) на СД с длаьнейшим копированием на жесткий диск), пролечить остальные.[/quote]
понял, спасибо
26.02.2008, 16:58
rubin

[quote]этот скрипт можно заюзать на других компах после их лечения, чтоб, если я правильно понял, скрытые файлы увидеть?[/quote]
Можно и без скрипта. В AVZ
Файл - Восстановление системы - пункты 6 и 8
22.02.2009, 04:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]