Нужна помощь

[ig473]

Получилось
Прислать логи?

[V_Bond]

повторите логи ...

[ig473]

Последние логи

[V_Bond]

еще такой лог http://virusinfo.info/showthread.php?t=10387

[ig473]

Протокол упакован в архив под названием log

[V_Bond]

выполните скрипт ...

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('\??\C:\fwdrv.sys','');
 QuarantineFile('Srsw16earvvct.sys','');
 QuarantineFile('system32\DRIVERS\Ip6Fw.sys','');     
 BC_ImportQuarantineList;
 BC_Activate;
 RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил..

[ig473]

Все сделал

Файл сохранён как 070920_015431_virus_46f219277d9e3.zip
Размер файла 1677
MD5 96152ea6a4b84bab1d52cc86c2d2fd80

Добавлено через 3 часа 43 минуты

Извините что возможно бегу впереди паровоза, в карантине у меня нет шпионов?
Можно работать спокойно?

[Bratez]

В карантине у вас пусто.
Выполните скрипт в AVZ:

Код:

begin
BC_DeleteSvc('fwdrv.sys');
BC_DeleteSvc('Srsw16earvvct');
BC_Activate;
RebootWindows(true);
end.

Ничего плохого в логах больше нет.

[ig473]

Скрипт выполнил, прислать логи AVZ?

[PavelA]

Да. Для контроля.

[ig473]

Пожалуйста, посмотрите

[PavelA]

В логах чисто. Можно только дырки позакрывать, если не используются.

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Пиши, что не используешь. Прикроем.

[ig473]

СПАСИБО всем за помощь, рад, что все чисто.

По поводу дырок
-Комп рабочий, имеется сетка (пять машин),
доступ других пользователей по сетке к моей машине ограничивается (во всяком случае я так думаю ) парой папок,
-выход в WWW через ADSL,
-авторан можно запретить (кстати хотел его запретить и на дом. компе, может совет дадите как),
-а вот по поводу анономного пользователя - не знаю (готов прислушаться к Вашим рекомендациям).

[Bratez]

Раз есть локалка, доступ анонимного надо оставить, иначе придется каждого юзера сети прописывать в разрешениях на доступ к расшаренным папкам. Остальное отключается следующим скриптом:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('SSDPSRV', 4);
RebootWindows(true);
end.

[ig473]

Все сделал, еще раз всем СПАСИБО

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 7
• Обработано файлов: 62
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\qqd.sys - Rootkit.Win32.Agent.ey (DrWEB: Trojan.NtRootKit.354)
  2. c:\\windows\\system32\\ntoskrnl.exe - Trojan.Win32.Patched.at (DrWEB: Trojan.Spambot.2440)
  3. c:\\windows\\temp\\winlogon.exe - Trojan-Proxy.Win32.Small.gk (DrWEB: Trojan.Packed.147)
  4. \\linkdel.cmd - Trojan.Win32.KillFiles.mu (DrWEB: Trojan.KillFiles.1131
  5. \\windows\\system32\\ntoskrnl.exe - Trojan.Win32.Patched.at (DrWEB: Trojan.Spambot.2440)
  6. \\2007-09-18\\linkdel.cmd - Trojan.Win32.KillFiles.mu (DrWEB: Trojan.KillFiles.1131