не избавиться от smtpdrv.sys и amvo0.dll

**Bratez** · 08.01.2008, 13:53

Видимо, успешно. Остались только хвосты в реестре.

Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,

Выполните скрипт в AVZ:

Код:

begin
 BC_DeleteSvc('smtpdrv');
 BC_DeleteSvc('Rxe27');
BC_Activate;
RebootWindows(true);
end.

После перезагрузки сделайте новый лог syscheck.
.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**EvgenIg** · 08.01.2008, 14:43

При скнировании диска С в AVZ нашел C:\WINDOWS\Rxe27.sys - Trojan-Downloader.Win32.Agent.ggt

**Bratez** · 08.01.2008, 14:52

Сообщение от EvgenIg

При скнировании диска С в AVZ нашел C:\WINDOWS\Rxe27.sys - Trojan-Downloader.Win32.Agent.ggt

Удалил, надеюсь?

В логе все чисто.
Осталось глянуть, нужно ли что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

и отключить лишнее для профилактики.

**EvgenIg** · 08.01.2008, 15:07

Сообщение от Bratez

Удалил, надеюсь?
Удалил

В логе все чисто.
Осталось глянуть, нужно ли что-то из этого:

Код:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

и отключить лишнее для профилактики.

из этого ничего не нужно

п.с. в корне диска С есть подозрительный файл NTDETECT.COM
и как можно флешдиски почистить от вредителей

**Bratez** · 08.01.2008, 15:12

Вот скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

Какие-нибудь проблемы остались?

Добавлено через 35 секунд

NTDETECT.COM - необходимый системный файл.

**EvgenIg** · 08.01.2008, 15:37

Спасибо все хорошо и чисто

Добавлено через 10 минут

на флешке были вирусы, отформатировал, остались два файла которые после удаления опять появляются
autorun.inf (AVZ выдает: ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
setup.exe

**zerocorporated** · 08.01.2008, 15:52

Сообщение от EvgenIg

на флешке были вирусы, отформатировал, остались два файла которые после удаления опять появляются
autorun.inf (AVZ выдает: ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
setup.exe

Логи сделайте с вставленной флэшкой

**EvgenIg** · 08.01.2008, 16:03

логи с флешкой

**wise-wistful** · 08.01.2008, 16:13

Выполните в АВЗ со вставленной флешкой

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('F:\autorun.inf','');
 DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

карантин загрузите по правилам...

**rubin** · 08.01.2008, 16:14

Выполните скрипт со вставленной флешкой

Код:

begin
 QuarantineFile('F:\autorun.inf','');
end.

Карантин пришлите

**EvgenIg** · 08.01.2008, 16:27

карантин выслал

**wise-wistful** · 08.01.2008, 16:41

ВЫполните в АВЗ со вставленой флешкой

Код:

begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 DeleteFile('F:\autorun.inf');
 DeleteFile('F:\setup.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Повторите лог virusinfo_syscheck.zip с флешкой.