Получилось :)
Прислать логи?
Printable View
Получилось :)
Прислать логи?
повторите логи ...
Последние логи
еще такой лог [url]http://virusinfo.info/showthread.php?t=10387[/url]
Протокол упакован в архив под названием log
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\??\C:\fwdrv.sys','');
QuarantineFile('Srsw16earvvct.sys','');
QuarantineFile('system32\DRIVERS\Ip6Fw.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил..
Все сделал
Файл сохранён как 070920_015431_virus_46f219277d9e3.zip
Размер файла 1677
MD5 96152ea6a4b84bab1d52cc86c2d2fd80
[size="1"][color="#666686"][B][I]Добавлено через 3 часа 43 минуты[/I][/B][/color][/size]
Извините что возможно бегу впереди паровоза, в карантине у меня нет шпионов?
Можно работать спокойно?
В карантине у вас пусто.
Выполните скрипт в AVZ:
[code]begin
BC_DeleteSvc('fwdrv.sys');
BC_DeleteSvc('Srsw16earvvct');
BC_Activate;
RebootWindows(true);
end.[/code]
Ничего плохого в логах больше нет.
Скрипт выполнил, прислать логи AVZ?
Да. Для контроля.
Пожалуйста, посмотрите
В логах чисто. Можно только дырки позакрывать, если не используются.
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Пиши, что не используешь. Прикроем.
СПАСИБО всем за помощь, рад, что все чисто.
По поводу дырок
-Комп рабочий, имеется сетка (пять машин),
доступ других пользователей по сетке к моей машине ограничивается (во всяком случае я так думаю :)) парой папок,
-выход в WWW через ADSL,
-авторан можно запретить (кстати хотел его запретить и на дом. компе, может совет дадите как),
-а вот по поводу анономного пользователя - не знаю (готов прислушаться к Вашим рекомендациям).
Раз есть локалка, доступ анонимного надо оставить, иначе придется каждого юзера сети прописывать в разрешениях на доступ к расшаренным папкам. Остальное отключается следующим скриптом:
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.[/code]
Все сделал, еще раз всем СПАСИБО :)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]7[/B][*]Обработано файлов: [B]62[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\qqd.sys - [B]Rootkit.Win32.Agent.ey[/B] (DrWEB: Trojan.NtRootKit.354)[*] c:\\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.at[/B] (DrWEB: Trojan.Spambot.2440)[*] c:\\windows\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Small.gk[/B] (DrWEB: Trojan.Packed.147)[*] \\linkdel.cmd - [B]Trojan.Win32.KillFiles.mu[/B] (DrWEB: Trojan.KillFiles.11318)[*] \\windows\\system32\\ntoskrnl.exe - [B]Trojan.Win32.Patched.at[/B] (DrWEB: Trojan.Spambot.2440)[*] \\2007-09-18\\linkdel.cmd - [B]Trojan.Win32.KillFiles.mu[/B] (DrWEB: Trojan.KillFiles.11318)[/LIST][/LIST]