при очистке корзины вылетает ошибка "не удается удалить De1. нет доступа" Я не уверен что это из за вируса, но все таки посмотрите плиззз
Printable View
при очистке корзины вылетает ошибка "не удается удалить De1. нет доступа" Я не уверен что это из за вируса, но все таки посмотрите плиззз
Выполните скрипт...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
и пришлите карантин согласно приложения 3 [URL="http://virusinfo.info/showthread.php?t=1235"]правил.[/URL]
Пофиксите в HijackThis:
[code]
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\
[/code]
и на всякий случай пришлите по правилам файлы:
[B]c:\windows\explorer.exe
c:\windows\system32\ntoskrnl.exe[/B]
Посмотрите этот список:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что из этого нужно - скажите, остальное поправим.
вот вроде все правильно сделал но фаил весит 570кб
А в чем проблема?
Загружать тут:
[url]http://virusinfo.info/upload_virus.php?tid=12541[/url]
отправил вроде строго не судите я полный ноль в компах
пофиксил вот лог, RemoteRegistry TermService Schedule RDSessMgr - не нужно точно. SSDPSRV я вообще незнаю что это такое. ну и насчет последних трех ничего сказать не могу -я просто не вкурсе для чего это нужно.
выполните скрипт ....(файл - выполнить скрипт (скопируйте и нажмите запустить-компьютер перегрузится))
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('c:\windows\explorer.exe','');
QuarantineFile('\WINDOWS\system32\ntoskrnl.exe','');
DeleteFile('C:\WINDOWS\Downloaded Program Files\popcaploader.dll');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12541[/url]
выслал карантин помоему еще больше вирусов стало
[QUOTE=RENBO;135804]выслал карантин помоему еще больше вирусов стало[/QUOTE]
в чем это проявляется ?
удалите временные интернет файлы ...
выполните скрипт ...
[code]
begin
ExecuteStdScr(6);
end.
[/code]
c:\windows\explorer.exe Prevx1 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile -подождем результаты вирлаба ...
C:\WINDOWS\system32\ntoskrnl.exe -судя по вирустотал чист ...
удалил временные файлы ccleaner, скрипт выполнил. а ошибка до сих пор осталась значит не в вирусе дело
Поисследуйте корзину чем-нибудь типа FAR или Total Commander.
спасибо за совет но это на 100% не поможет, такое случается и на локальных дисках, но реже.
Корзина вроде как только на локальных дисках и живёт. То есть, сетевые корзины тоже существуют, но за большие дополнительные деньги.
c:\windows\explorer.exe - чистый ...
повторите логи...
вот логи. А что со списком служб???
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Это то, что можно отключить. Только надо знать компьютер в сети, или домашний.
домашний
Закрываем дырки:
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]
Проверяем работу. Делаем контрольные логи.
вроде нормально все. всем спасибо кто сомной возился.
в логах ничего подозрительного ...
ура товорищи
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]