На компьютере постоянно идет обращение к дисководу раз в 10-15 секунд. Если вставить дискету, на ней появляются 2 скрытых файла autorun.inf и system.exe. Логи прилагаю.
Printable View
На компьютере постоянно идет обращение к дисководу раз в 10-15 секунд. Если вставить дискету, на ней появляются 2 скрытых файла autorun.inf и system.exe. Логи прилагаю.
Программа AVZ - файл - выполнить скрипт - выполните скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Microsoft Common\svchost.exe','');
QuarantineFile('Tccenrvtipqn.sys','');
QuarantineFile('c:\utils\dtemp\dtemp.exe','');
DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_DeleteFile('C:\Program Files\Microsoft Common\svchost.exe');
BC_Activate;
ExecuteSysClean;
executerepair(1);
executerepair(6);
executerepair(8);
executerepair(9);
RebootWindows(true);
end.[/code] После перезагрузки, карантин загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=37723[/url] , как написано в прил.3 правил, и повторите логи.
После выполнения скрипта, обращения к дисководу прекратились. Карантин выслал. Повторные логи прилагаю.
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('Tccenrvtipqn');
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Больше ничего плохого не видно.
В дополнение, если захотите закрыть вот это : [code]>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code], выполните еще один скрипт: [code]begin
SetServiceStart('Messenger', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.[/code] Внимание: эти службы не являются важными для работы сети, но, возможно, нужны для работы программы ichat - проверить не могу. По возможности, если он не является абсолютно необходимым, отключите autorun , как написано здесь: [url]http://virusinfo.info/showthread.php?t=20291[/url]
Спасибо огромное!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\microsoft common\\svchost.exe - [B]Trojan-Dropper.Win32.Agent.afek[/B][/LIST][/LIST]