вот эти файлы
Printable View
вот эти файлы
пофиксите...
[code]
O4 - HKLM\..\Run: [SysCVMS.exe] C:\WINDOWS\system32\SysCVMS.exe
[/code]
выполните скрипт...
[code]
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\lich.exe','');
QuarantineFile('C:\WINDOWS\system32\SysCVMS.exe','');
DeleteFile('C:\WINDOWS\system32\SysCVMS.exe');
DeleteFile('C:\WINDOWS\system32\lich.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил...
повторите логи...
[size="1"][color="#666686"][B][I]Добавлено через 56 минут[/I][/B][/color][/size]
попал в карантин ...
C:\WINDOWS\system32\lich.exe [B]Trojan-PSW.Win32.LdPinch.edj[/B]
меняйте пароли....
Сделал новые логи
Где менять пароли?
Пуск > Выполнить; вписать sc delete lich нажать ОК
повторите лог HijackThis
пароли нужно менять все.... к сайтам кошелькам ... аське ... почте ... вобщем все...
сделал выполнить ...
Сделал новый лог HijackThis
больше не вижу ничего зловредного в логах ...
Понял теперь наверное мне надо восстанавливать систему а то не мышь не работает ... спасибо!
возможно у вас проблемы с драйверами мыши ... попробуйте удалить и поставить заново ...
Добрый день!
Прошу Вас посмотреть выложеннные логи т.к. заваливает иногда Firewall а касперский не определяет вирусы
файл virus не вложил потому что там пусто
[LIST=1][*]Выполнить скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\a96dqy2n.SYS','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]Компьютер перезагрузится.[*]Карантин прислать согласно приложению 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил[/URL].[*]Повторить логи.[/LIST]
Ничего подозрительного в логах не видно.
Заплатки на Windows регулярно ставите?
Рекомендую:
1. Установить все критические обновления Windows, вышедшие после SP2.
2. Обновить антивирус до 7-й версии, а еще лучше перейти на KIS 7.0.
3. Отключить все что вам не нужно из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Заплатки не ставил вообще :-)
пожалуйста если можете что означают службы:1,2,3
и где отключать службы "Безопасность"
не подскажите где брать крит обновления после SP2
выполнил скрипт и файл по приложению 3
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
если есть ссылка где можно скачать 100% проверенные обновления пожалуйста дайте! что потом не пришлось пользоваться такимипрограма ка True Image Ghost и прочими :-)
Вот здесь отличный пакет всех необходимых заплаток
(только для русской XP SP2):
[url]http://poleznosti.ru/soft/file_catalog/?file_id=20060821091454[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
По сервисам информация где-то была в соответствующих разделах форума. Отключить - скрипт напишем, только скажите что нужно, что нет.
у меня комп в сети есть папки для общего доступа
есть консоль администратора для Winroute Firewall чтоб смотреть кто заваливает сервер
стоит у меня принтер для общего доступа
и все, какие конкретно службы нужны какие нет не знаю :-(
Вот вам скрипт для отключения ненужного:
[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Добрый день!
Подскажите что делать с вирусом PE_Patch.Morphine заражен файл
с:\windows\system32\mdmi386.exe\PE_Patch.Morphine\...
не вызовет ли осложнения удаления файла mdmi386.exe?
Неплохо бы новые логи сделать, времени много прошло.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]22[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\system volume information\\_restore{66b251f8-c5ce-45a0-9f65-a9cd128cc04a}\\rp1\\a0000012.dll - [B]Trojan-Spy.Win32.Iespy.eh[/B] (DrWEB: Trojan.Iespy)[*] c:\\windows\\system32\\lich.exe - [B]Trojan-PSW.Win32.LdPinch.edj[/B] (DrWEB: a modification of Trojan.Packed.189)[*] c:\\windows\\system32\\magent.exe - [B]Email-Worm.Win32.Bagle.mj[/B] (DrWEB: Trojan.Spambot.2488)[*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.em[/B] (DrWEB: Trojan.PWS.GoldSpy)[*] c:\\windows\\system32\\mswapi.dll - [B]Trojan-Spy.Win32.Iespy.eh[/B] (DrWEB: Trojan.Iespy)[*] f:\\autorun.inf - [B]Worm.Win32.AutoRun.dyj[/B][/LIST][/LIST]