Printable View
Видимо, успешно. Остались только хвосты в реестре.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
[/code]
Выполните скрипт в AVZ:
[code]
begin
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Rxe27');
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки сделайте новый лог syscheck.
.
При скнировании диска С в AVZ нашел C:\WINDOWS\Rxe27.sys - Trojan-Downloader.Win32.Agent.ggt
[quote=EvgenIg;168799]При скнировании диска С в AVZ нашел C:\WINDOWS\Rxe27.sys - Trojan-Downloader.Win32.Agent.ggt[/quote]
Удалил, надеюсь?
В логе все чисто.
Осталось глянуть, нужно ли что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
и отключить лишнее для профилактики.
[quote=Bratez;168806]Удалил, надеюсь?
Удалил
В логе все чисто.
Осталось глянуть, нужно ли что-то из этого:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
и отключить лишнее для профилактики.[/quote]
из этого ничего не нужно
п.с. в корне диска С есть подозрительный файл NTDETECT.COM
и как можно флешдиски почистить от вредителей
Вот скрипт для отключения ненужного:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.[/code]
Какие-нибудь проблемы остались?
[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]
NTDETECT.COM - необходимый системный файл.
Спасибо все хорошо и чисто
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
на флешке были вирусы, отформатировал, остались два файла которые после удаления опять появляются
autorun.inf (AVZ выдает: ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
setup.exe
[QUOTE=EvgenIg;168823]на флешке были вирусы, отформатировал, остались два файла которые после удаления опять появляются
autorun.inf (AVZ выдает: ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
setup.exe[/QUOTE]
Логи сделайте с вставленной флэшкой
логи с флешкой
Выполните в АВЗ со вставленной флешкой
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('F:\autorun.inf','');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
карантин загрузите по правилам...
Выполните скрипт со вставленной флешкой
[code]begin
QuarantineFile('F:\autorun.inf','');
end.[/code]
Карантин пришлите
карантин выслал
ВЫполните в АВЗ со вставленой флешкой
[CODE]begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
DeleteFile('F:\autorun.inf');
DeleteFile('F:\setup.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Повторите лог virusinfo_syscheck.zip с флешкой.
F:\setup.exe - [B]Email-Worm.Win32.Magistr.d[/B]
Спасибо флешка теперь чистая
Лог чистый.
[QUOTE=zerocorporated;168865]F:\setup.exe - [B]Email-Worm.Win32.Magistr.d[/B][/QUOTE]
Ух ты! Вот это раритет!