.
Printable View
.
Попробуем для начала грохнуть вот это:
выполнить скрипт:
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{54C7D1DD-4296-451e-B756-1E94F665B4FF}');
DelBHO('{3C49DDAC-3DA4-4743-AF6C-5974FEAF875C}');
DeleteFile('C:\WINDOWS\System32\winload.dll');
DeleteFile('C:\WINDOWS\System32\yatool.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После будем разбираться с "неуловимым" Джо (Tty05.sys).
сделал, вот логи
[QUOTE=V_Bond;164669]-[URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]скачать[/URL] ...
- отключить антивирус
- оключиться от интернета
tools - wipe/copy file - browse и находим файл C:\WINDOWS\Tty05.sys... - direct file content wiping - do opperation - закрыть программу.. - перезагрузится ...
...
ну и новые логи ...[/QUOTE]
Попробуем теперь повторить вот эту операцию в защищ. режиме.
и не забыть про C:\WINDOWS\System32\Drivers\Tty05.sys
всё сделал, вот логи
C:\WINDOWS\System32\Drivers\Tty05.sys - остался, но AVZ его даже не подозревает.
Есть вероятность, что все-таки мы его победили.
Для порядка профиксить:
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
Сделать лог HJ.
если это только мусор ....
то этот срипт справится ....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\System32\Drivers\Tty05.sys');
BC_ImportDeletedList;
BC_DeleteSvc('Tty05');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
все сделал, вот логи
теперь чисто ....
осталось только это ....
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
а что это?)
Компьютер домашний\рабочий? Для чего используется?
домашний, используется...да ничего конкретного, для всего понемножку
самый главный вопрос локальная сеть есть ?
нет
тогда ...
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
комп стал очень сильно тормозить
с чего бы это ? ...
давайте новые логи ..
Теперь у меня при запуске идет какойто автоматический осмотр и я немогу выгрузить свой антивирус, поэтому вё тормозит сильно, ЦП загружен на 100%...незнаю как отключить антивирус и поэтому не делаю логи
[quote]Теперь у меня при запуске идет какойто автоматический осмотр [/quote]
Видимо ваш Симантек вздумал сделать проверку компьютера... Придется подождать, пока он закончит или поискать на том окошке с "осмотром" кнопку Stop.