Все сделала как написано в правилах, проблема:не удаляется startdrv.exe находящийся в C:\WINDOWS\TEMP\startdrv.exe
Printable View
Все сделала как написано в правилах, проблема:не удаляется startdrv.exe находящийся в C:\WINDOWS\TEMP\startdrv.exe
Пофиксите с помощью Hijackthis строчки: [code]F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\windows\system32\ntos.exe,
O2 - BHO: C:\WINDOWS\system32\hd783fdg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)
[/code] Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\windows\system32\ntos.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winsto.exe','');
QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys','');
BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winsto.exe');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winsto.exe');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\windows\system32\ntos.exe');
BC_DeleteFile('C:\windows\system32\ntos.exe');
BC_DeleteFile('C:\WINDOWS\TEMP\startdrv.exe');
bc_deleteSVC('runtime2');
bc_deleteSVC('lich');
BC_ImportQuarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=14887[/url] , как написано в прил. 3 [url=http://virusinfo.info/showthread.php?t=1235]правил[/url], и повторите логи, начиная с п. 10 правил
Базы AVZ надо обновить, "Восст. системы" отключить.
несколько раз компьютер вырубался и не открывались папки.
Пожалуйста, объясните по подробнее, что вообще мы делаем, и что должно происходить (ни разу этого не делала). Спасибо.
Вообще-то пытались вылечить компьютер.
Я бы попросил лог из п.3 "Станд. скриптов" повторить. Еще раз повторюсь: "Восстановление системы" нужно отключить.
Профиксить вот эту строчку:
O4 - HKLM\..\Run: [startdrv] C:\windows\Temp\startdrv.exe
А что значит "Не отрывались папки"? Эта проблема и сейчас осталась?
Как отключить восстановление системы, написано здесь: [url]http://virusinfo.info/showthread.php?t=4905[/url]
Отключила восстановление системы и сделала скрипт
Как проверить вылечился мой компьютер?
Карантин от вас не пришел. Пожалуйста, загрузите его повторно по ссылке [url]http://virusinfo.info/upload_virus.php?tid=14887[/url]
[b]PavelA[/b] просил вас повторить скрипт лечения\карантина (программа AVZ - файл - стандартные скрипты - отметить пункт 3 - выполнить).
Какие-нибудь симптомы заражения остались?
startdrv.exe удалился , можно включить восстановление системы?
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Что делать дальше?
Где же ваш карантин?
Сделайте повторно все три лога, прикрепите их к теме. Будем смотреть, все ли вылечили.
Как можно в этом разбираться, какие-то логи, скрипты .
Вроде все сделала как вы сказали.
[[COLOR="Red"]moderated! Карантин нужно присылать в соответствии с приложением 3 правил[/COLOR]]
в логах чисто ....
нужно разобраться с этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Карантин отослала, а что делать с предыдущем сообщением >>Службы..........
Сказать, что нужно, что нет.
А что дальше?
а дальше можем помочь закрыть ... если машина рабочая ... стоит предварительно посоветоваться с сисадмином ....
Пожалуйста, объясните конкретнее, что значит закрыть(что закрыть), что у меня с компьютером??? Компьютер рабочий очень много информации, пользователь один -я.
у вас запущены потенциально опасные службы .... если в них нет необходимости их лучше остановить ...
Скажите, пожалуйста, как их удалить и какие это службы?
Как это предотвратить в дальнейшем?
Пожалуйста, ответьте.
[code]
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
[/code]
укажите область применения ПК ?
Область применения ПК - продажа запчастей (программы по запчастям)
мы пойдем другим путем ....(с)
компьютер у вас в локальной сети ... ?
терминальные подключения используются ?
Компьютер один
тогда выполните такой скрипт ....
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Странно. Вот эта строчка: [code]O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll[/code] Говорит о том, что, во-первых, на компьютере есть сетевая карта, а, во-вторых, там установлен клиент для сетей Netware. Относительно сети, проконсультируйтесь, все-же, с каким-нибудь локальным специалистом.
1.Мой знакомый компьютерщик сказал, что сети как таковой нет то есть она не используется, используется модем (т.е телефон Скайлинк)
2. Насчет предыдущего лога загружаю их, нажимаю ОК и комп вырубается. Это так и должно быть?
может насчет скрипта ?
и может не вырубается а перегружается ? (если да то так и должно быть )
@marina580 А зачем вирусы сюда приложили? Ай-ай-ай!
т.е перезагружался
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
Извините, я все приложила вдруг понадобиться.
[size="1"][color="#666686"][B][I]Добавлено через 1 час 27 минут[/I][/B][/color][/size]
Какой диагноз?Что дальше будем делать?
Если вы выполнили [url=http://virusinfo.info/showpost.php?p=157171&postcount=24]скрипт[/url] от [b]V_Bond[/b], то лечение на этом закончено, если, конечно, никаких симптомов заражения не осталось.
Спасибо вам большое, вы мне очень помогли!!!
Не знала , что такую помощь можно получить через интернет.
Я думала что придется опять переустановить систему (уже такое было).
Подскажите, что делать с программой AVZ, удалять?
[quote]что делать с программой AVZ, удалять?[/quote]
Оставьте про запас, мало ли что ;)
Можно карантин почистить, а программу оставьте. М.б. к нам еще разок заглянете "на огонек".
Спасибо!!!!!!!!!