Доброе время суток. Аваст и CureIT обнаруживают, но не спасают от след. зверей:
"Win32:Rootkit-gen [Rtk]"
"Win32:LdPinch-CQV [Trj]"
"Win32:Agent-VGV [Wrm]"
Список не полный. что можете посоветовать?
Printable View
Доброе время суток. Аваст и CureIT обнаруживают, но не спасают от след. зверей:
"Win32:Rootkit-gen [Rtk]"
"Win32:LdPinch-CQV [Trj]"
"Win32:Agent-VGV [Wrm]"
Список не полный. что можете посоветовать?
Отключите Антивирус и системное восстановление!!!
Пофиксите
[CODE]O4 - HKCU\..\Run: [HJdfke9kfdf] C:\DOCUME~1\117F~1\LOCALS~1\Temp\csrssc.exe
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O17 - HKLM\System\CCS\Services\Tcpip\..\{E0EAACC2-E96D-4851-8BD3-FC58941916F6}: NameServer = 80.254.125.64,80.254.123.254
O17 - HKLM\System\CS1\Services\Tcpip\..\{45A52EA9-389A-4577-B18C-3B8D60C373D3}: NameServer = 80.254.111.254[/CODE]
Выполните скрипт
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('Agj01');
DeleteService('ddO52');
DeleteService('dqQ74');
DeleteService('Eim22');
DeleteService('Pvg01');
DeleteService('Tgu38');
TerminateProcessByName('c:\docume~1\117f~1\locals~1\temp\csrssc.exe');
QuarantineFile('c:\docume~1\117f~1\locals~1\temp\csrssc.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Agj01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Eim22.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dqQ74.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\ddO52.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Pvg01.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Tgu38.sys','');
QuarantineFile('C:\DOCUME~1\117F~1\LOCALS~1\Temp\csrssc.exe','');
DeleteFile('C:\DOCUME~1\117F~1\LOCALS~1\Temp\csrssc.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Tgu38.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Pvg01.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\ddO52.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\dqQ74.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Eim22.sys');
DeleteFile('C:\WINDOWS\System32\Drivers\Agj01.sys');
DeleteFile('c:\docume~1\117f~1\locals~1\temp\csrssc.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки закачайте карантин по красной ссылке вверху темы и повторите 3 лога.
Аваст теперь молчит, но после перезагрузки продолжается поиск драйверов на некое новое оборудование. комп по-прежнему тормозит.
да, забыл вложения.
[QUOTE=BreAl;233157]Аваст теперь молчит, но после перезагрузки продолжается поиск драйверов на некое новое оборудование. комп по-прежнему тормозит.[/QUOTE]В логах чисто. Какое оборудование ищется? Что-нибудь подключено (флешки, принтер и т.д.). Посмотрите в управление Хардваре - где стоят желтые вопросительные знаки.
ничего нового не подключено. глюк появился вместе с вирусами. В диспетчере устройств под вопросами - значится: другие устройства - неизвестное устройство
[QUOTE=BreAl;233164]диспетчере устройств под вопросами - значится: другие устройства - неизвестное устройство[/QUOTE]Попробуйте их все удалить, перегрузитесь. Если там действительно что-то есть - Виндовс должен это автоматически распознать и попытаться установить сигнированный драйвер из кэша. Если не найдет - попросит указать путь к драйверу (Диск, дискетта и т.д.).
Не забудьте установить СП3.
группа - "Другие устройства"
а что такое, пардон, СП3?
устройство удалил, попробую перезагрузить.
[QUOTE=BreAl;233171]а что такое, пардон, СП3?
[/QUOTE]
Ссылка в моей подписи ;)
проблема вроде пропала. а с СП3 - это необходимо? тут одна проблемка - из меня хреновый программист )
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
да, еще - восстановление системы можно включать? а то мало ли...
[QUOTE=BreAl;233182]проблема вроде пропала.[/QUOTE]
Вот и ладушки :)
[QUOTE]а с СП3 - это необходимо?[/QUOTE]
Если не хотите получить у нас постоянную прописку - да.
[QUOTE]тут одна проблемка - из меня хреновый программист )[/QUOTE]
Чтобы скачать и установить сервиспак не нужно быть программистом :). А то, что там написано[I] для ИТ-специалистов и разработчиков [/I]можно просто проигнорировать. Главное - не забудьте при установке отключить Ваш антивирус и файрволл!!!. При скачивании они могут оставаться активными, если не блокируют траффик.
[QUOTE]да, еще - восстановление системы можно включать? [/QUOTE]
Как хотите. Это не обязательно.
[B][COLOR="Magenta"]Важно: Поскольку у Вас был предположительно пинч - смените все пароли.[/COLOR][/B]
[QUOTE]Вот и ладушки :)[/QUOTE] - спасибо вам.
[QUOTE]Если не хотите получить у нас постоянную прописку - да.[/QUOTE] - я уже начинаю привыкать:D
Еще один момент - что из этого надо отключить?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[QUOTE=BreAl;233195]
Еще один момент - что из этого надо отключить?[/QUOTE]Чтобы не делать вслепую то, что [I]дядя сказал[/I], посоветую скачать и прочитать Руководство по службам (ссылка в моей подписи). Тогда Вы сможете со знанием дела сами сконфигурировать Ваш ПК для безопасной работы.
И еще:
Нам интересно [url=http://virusinfo.info/showthread.php?t=19883]Ваше мнение[/url] о нашем ресурсе. Будем очень благодарны за отзыв, он может помочь нам улучшить ресурс.
Советуем прочитать электронную [url=http://security-advisory.virusinfo.info/]книгу[/url] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Еще раз спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\117f~1\\locals~1\\temp\\csrssc.exe - [B]Trojan.Win32.Agent.gmo[/B] (DrWEB: BackDoor.Siggen.2)[/LIST][/LIST]