еще раз логи для контроля...
Printable View
еще раз логи для контроля...
вот последние логи
выполните скрипт ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\is-M84GB.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
в папке с виндой нет такого файла C:\WINDOWS\is-M84GB.exe
карантин после выполнения скрипта пуст..
попробуйте так поискать ....
AVZ - сервис- поиск файлов на диске ...
поиск через AVZ ничего не дал.
вот логи еще раз..
последняя попытка ... попробуйте выполнить скрипт в SAFE MODE ...
и в safe mode не ловится..
пофиксите....
[code]
O4 - HKLM\..\RunOnce: [InnoSetupRegFile.0000000001] "C:\WINDOWS\is-M84GB.exe" /REG
[/code]
повторите лог... hijackthis
это могло быть что то от работающего аутпоста или панды?..я их тогда забыл отключить..извините.
вот лог хайджека
больше ничего зловредного не вижу... если проблем нет лечение можно считать завершенным...
чем из этого пользуетесь ? остальное поможем закрыть ...
[I]Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/I]
ничем из этого не пользуюсь..)
тогда выполните скрипт...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.
[/code]
скрипт выполнен без ошибок. на горизонте все чисто)
О Г Р О М Н О Е С П А С И Б О В С Е М В А М!!!
З. Ы.: интересно, для борцов со зловредами какие-нить особые бонусы карма предусмотрела?)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\drivers\\tcpip.sys - [B]Trojan.Win32.Patched.ao[/B] (DrWEB: BackDoor.Groan)[*] c:\\windows\\system32\\spooldr.sys - [B]Email-Worm.Win32.Nulprot.e[/B] (DrWEB: Trojan.NtRootKit.375)[/LIST][/LIST]