На ноутбуке был обнаружен Win32.HLLM.Generic.440
После лечения CureIt не получается восстановить доступ к реестру и отключить автозагрузки. Наверное, есть еще что-то.
На ноутбуке был обнаружен Win32.HLLM.Generic.440
После лечения CureIt не получается восстановить доступ к реестру и отключить автозагрузки. Наверное, есть еще что-то.
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\Admin\Templates\Brengkolang.com','');
QuarantineFile('C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe','');
DeleteFile('C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(17);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=19329[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe" [/CODE]
[QUOTE=rubin;198680]1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
2.Пофиксить в HijackThis следующие строчки
O4 - HKCU\..\Run: [Tok-Cirrhatus] "C:\Documents and Settings\Admin\Local Settings\Application Data\smss.exe" [/QUOTE]
Сделал, не помогло, проблема осталась.
И похоже, распростарняется - проверил сейчас через AVZ свой компьютер (в одной сети с тем ноутбуком), также оказались разрешены автозапуски, сделал исправление, не помогло :(
Не помогло в том отношении, что снова делаю проверку, и опять разрешены автозапуски, отмечаю их, жму "Исправить отмеченные проблемы", AVZ говорит, что отмеченные проблемы устранены, снова жму на "Пуск", и снова вылазят авозапуски.
Что интересно, в HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer NoDriveTypeAutoRun=0xFF, а автозапуск работает! Втыкаю диск с автозапуском - запускается.
Профиксить надо бы:
F2 - REG:system.ini: Shell=explorer.exe
[QUOTE=PavelA;198718]Профиксить надо бы:
F2 - REG:system.ini: Shell=explorer.exe[/QUOTE]
Пофиксил, реестр разблокирован. Остался автозапуск, про него прочитаю здесь [URL]http://virusinfo.info/showthread.php?t=17442[/URL]
Правда с автозапуском все равно до конца непонятно - вроде бы если его AVZ исправил, то при следующей проверке автозапуска уже не должно быть в списке проблем, а он остается. Что-то восстанавливает значения?
[quote=KonstS;198751]Пофиксил, реестр разблокирован. Остался автозапуск, про него прочитаю здесь [URL]http://virusinfo.info/showthread.php?t=17442[/URL]
Правда с автозапуском все равно до конца непонятно - вроде бы если его AVZ исправил, то при следующей проверке автозапуска уже не должно быть в списке проблем, а он остается. Что-то восстанавливает значения?[/quote]
Угу. Параметры в системе заданы под MountPoints2 - AVZ их (пока) не трогает. Возможно в будущем это положение изменится. Система MountPoints2 полностью обходит политику автозапуска.
Сначала повторите логи. [b]Как только хелперы дадут зелённый цвет[/b], надо бы удалить все ключи MountPoints2 из реестра (они восстанавливаются, но ключи уже чистыми будут). Потом можно применить трюки указаны в вами приведённой теме. :)
Paul
[QUOTE=p2u;198757]Угу. Параметры в системе заданы под MountPoints2 - AVZ их (пока) не трогает. Возможно в будущем это положение изменится. Система MountPoints2 полностью обходит политику автозапуска.
Сначала повторите логи. [b]Как только хелперы дадут зелённый цвет[/b], надо бы удалить все ключи MountPoints2 из реестра (они восстанавливаются, но ключи уже чистыми будут). Потом можно применить трюки указаны в вами приведённой теме. :)
Paul[/QUOTE]
Сейчас попробовал воспользоваться на своем компьютере скриптом из поста 43 [URL]http://virusinfo.info/showthread.php?t=17442&page=3[/URL], AVZ перестал находить проблему автозапуска. Диск и autorun с флешки не запускаются.
Чужие скрипты - это чревато. Лучше уж самостоятельно через мастер устранения проблем AVZ.
[QUOTE=pig;198852]Чужие скрипты - это чревато. Лучше уж самостоятельно через мастер устранения проблем AVZ.[/QUOTE]
Я сначала посмотрел тот скрипт - он только вносит отключение в ветку реестра, отклюает автозвпуск. А через AVZ не получилось, мастер устранениея проблем не помогает :(
[quote=pig;198852]Чужие скрипты - это чревато. Лучше уж самостоятельно через мастер устранения проблем AVZ.[/quote]
Это не скрипт, [b]pig[/b]. Пользователь Virtual выложил текст рег-файла для того, чтобы избавиться от авторанов. :)
@ [b]KonstS[/b]:
Это не текст скрипта AVZ.
Делайте так: Мой Комп - Сервис - Свойства папки.
Открыть вкладку Вид и отключить опцию 'Скрывать расширения для зарегистрированных типов файлов' (Снять галочку).
Открыть Блокнот, вставить текст туда и сохранить как файл [b].reg[/b]
Допустим назвать можно так: [b]anti-autorun.reg[/b]
P.S.: Вообще-то, в сообщении №6 я вас попросил повторять логи. Дело в том, что вы зря стараетесь если всё ещё присутствуют зловреды у вас в системе - тогда, возможно, отредактировать реестр не удастся.
Paul
[QUOTE=p2u;198954]Это не скрипт, [b]pig[/b]. Пользователь Virtual выложил текст рег-файла для того, чтобы избавиться от авторанов. :)
@ [b]KonstS[/b]:
Это не текст скрипта AVZ.
Делайте так: Мой Комп - Сервис - Свойства папки.
Открыть вкладку Вид и отключить опцию 'Скрывать расширения для зарегистрированных типов файлов' (Снять галочку).
Открыть Блокнот, вставить текст туда и сохранить как файл [b].reg[/b]
Допустим назвать можно так: [b]anti-autorun.reg[/b]
P.S.: Вообще-то, в сообщении №6 я вас попросил повторять логи. Дело в том, что вы зря стараетесь если всё ещё присутствуют зловреды у вас в системе - тогда, возможно, отредактировать реестр не удастся.
Paul[/QUOTE]
Ну да, это reg-файл, я его неправильно обозвал скриптом.
Проводниками и блокнотами не пользуюсь, в основном все через far.
А с логами в пятницу не получилось - ноут директорский, доступ к нему есть не всегда :)
Высылаю сегодня. Похоже, что все чисто.
выполните скрипт ...
[code]
begin
DeleteFile('C:\Documents and Settings\Admin\Templates\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip - повторите ...
[QUOTE=V_Bond;200148]выполните скрипт ...
[code]
begin
DeleteFile('C:\Documents and Settings\Admin\Templates\Brengkolang.com');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
virusinfo_syscheck.zip - повторите ...[/QUOTE]
Выполнено
удалите в планировщике задание At1.job ....
больше ничего подозрительного ...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]