Printable View
Файлы карантина не загрузились(пробовал 3-4 раза)
Выкидывает просто на страницу, там написано "Результат загрузки". Вес файла 70мб
Из списка ничего сам не блокировал, вирус сам все заблокировал. Подскажите, как это все включить?
[CODE]>> Блокировка панели управления
>> Включено сокрытие всех элементов на рабочем столе
>> Отключено контекстное меню панели задач
>> Заблокировано изменение свойств экрана[/CODE]
virusinfo_cure.zip опять не загрузился, весит 8.42мб
Пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8888; https=127.0.0.1:8888
R3 - URLSearchHook: (no name) - - (no file)
O3 - Toolbar: (no name) - {91397D20-1446-11D4-8AF4-0040CA1127B6} - (no file)
[/code]
Выполните скрипт в AVZ:
[code]
begin
DeleteFile('F:\DOCUME~1\F185~1\LOCALS~1\Temp\Rar$EX00.422\Bootrace.exe');
DeleteFile('F:\Program Files\Common Files\Doctor Web\Scanning Engine\dwengine.exe');
DeleteFile('F:\WINDOWS\System32\drivers\dwprot.sys');
ExecuteSysClean;
ExecuteRepair(17);
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW',2,3,true);
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Сделайте новые логи (только п.2 и 3 раздела Диагностика).
Рабочий стол появился, права пользователя появились, диспетчер работает, реестр работает. Вроде бы все работает.
Пользователь thyrex мне посоветовал, что в ветке HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon нужно изменить значение shell = [B]e[/B]xplorer.exe(сейчас стоит [B]E[/B]xplorer.exe) Или от большой\маленькой буквы ничего не зависит?
Еще заметил, что появилось в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\[B]Winlogon[/B] с параметром SHELL = [B]E[/B]xplorer.exe
В HijackThis пофиксил, логи сделал.
[QUOTE='myaso;752437']Или от большой\маленькой буквы ничего не зависит?[/QUOTE] не зависит.
Выполните скрипт в AVZ
[CODE]begin
RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Control', 'WaitToKillServiceTimeout', 20000);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
ExecuteWizard('TSW', 2, 3, true);
RebootWindows(false);
end.[/CODE]
- Откройте файл [url=http://df.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url]. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Сделал. Думал, скрипт будет выполняться минут 10, а тут за 2-3сек.
Уязвимости устранены. Проблема с вирусом вроде полностью решена. Пока что не заметил ничего странного.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]20[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] f:\\documents and settings\\дима\\рабочий стол\\bce dumoha\\приват\\подозрительный софт\\wm.rar - [B]Trojan-Spy.Win32.Webmoner.ce[/B] ( DrWEB: archive: Trojan.Wmchange, BitDefender: Trojan.Spy.Webmoner.CE )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]