Помогите вашему интеллекту ещё немного ;)Скачать последнею версию AVZ , обновить её базы и только потом заниматься исполнением логов.
Printable View
Помогите вашему интеллекту ещё немного ;)Скачать последнею версию AVZ , обновить её базы и только потом заниматься исполнением логов.
... предварительно пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=C:\WINDOWS\system32\drivers\winlogon.exe
O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)
O4 - HKLM\..\Run: [systemsrvload] C:\WINDOWS\system32\drivers\winlogon.exe
[/code]
Пофиксил и о чудо, всё заработало!!!
Меня погубят скринсеверы! Остались ещё такие же и от туда же, их снести или они чистые??? Когда можно включить востановление системы?
Вы уверены, что они остались?
[code]
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\HotGirls.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\HotGirls.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\Rain.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\Rain.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\waterfalls.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\waterfalls.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\Bikini02.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\Bikini02.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\snowfalling.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\snowfalling.exe >>>>> AdvWare.Win32.BHO.ee успешно удален
[/code]
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
В логах чисто, только еще вот это посмотрите:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что нужно - скажите, остальное исправим.
Те 5 что обнаружили - удалиллись. Остались в той же папке другие, но с того же сайта скачаные.(удалю от греха) А второе как мне это посмотреть? Когда можно включить востановление системы?
[quote]А второе как мне это посмотреть?[/quote]
Просто скажите, что из приведенного списка вы реально используете.
А мы сделаем скрипт для отключения остального.
Восстановление уже можно включать.
Оба-на! Это самый сложный вопрос для меня в этой теме или мой мозг уже лопнул! Я не знаю. Может что то посоветуете оптимальное? P.S.а колобка этого удалить или можно теперь использовать по назначению?
[quote]Может что то посоветуете оптимальное?[/quote]
Если нет локальной сети, можно закрыть все, ну разве что автозапуск CD оставить, если к нему привыкли. При наличии локалки с доступом к файлам оставить доступ анонимного пользователя. Если используете быстрое переключение пользователей, надо оставить службу терминалов.
Колобка отправьте на анализ по адресу [email][email protected][/email] и ждите ответа.
Иначе рискуете снова попасть на все эти танцы с бубном ;)
Автозапуск СД оставить. Быстрое переключение пользователей не нужен. Инет у меня через локалку. "доступ анонимного пользователя" - это аноним у меня в файлах рыться будет?
[quote]это аноним у меня в файлах рыться будет?[/quote]
Кхм... правильнее сказать - "сейчас роется" ;)
На самом деле это значит, что если вы откроете общий доступ к какой-то папке, то этот доступ получат все пользователи сети. Если отключить анонима, то вам придется поименно указать каждого, кому разрешен доступ.
Вот скрипт, CD и анонима оставил:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Bratez - Super Bratez!!! :)
Час назад получил ответ: <<Здравствуйте. В присланном Вами файле не найдено ничего вредоносного. С уважением, Юрий Вирусный аналитик ЗАО "Лаборатория Касперского".>> Так вроде и антивирус в больном компе ничего не находил. Я им послал *ехе установочного файла. Может эта бяка вылезла когда я запустил *ехе и сейчас он чист!? Мне по фиг этот *ехе, я его удалю. Меня интересует могу ли я играть игру или готовить 200р и занимать очередь к терминалу оплаты???
Ну теперь вы знаете, как бороться с ним, можно попробовать, произойдет что-либо или нет :)
[size="1"][color="#666686"][B][I]Добавлено через 48 секунд[/I][/B][/color][/size]
Но перед этим лучше сделать образ диска, с помощью того же Акрониса.
Какая имено программа Акронис? А то у меня глазки разбежались от их количества. Может в закромах ссылочка завалялась?