При старте создает ip6fw.sys, smtpdrv.sys
При старте создает ip6fw.sys, smtpdrv.sys
выполните скрипт...
повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\runtime2.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys',''); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); Deletefile('C:\WINDOWS\system32\drivers\ip6fw.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime2.sys'); DeleteFile('C:\WINDOWS\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Выполнить скрипт:
Загрузить карантин по ссылке.Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_QrFile('C:\WINDOWS\system32\drivers\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\system32\drivers\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('Ip6Fw'); BC_Activate; RebootWindows(true); end.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
После скрипта V Bond.
Нужно ли теперь выполнять скрипт PavelA (ответы появились почти одновременно)?
Пофиксите в HijackThis:
и выполните скрипт:Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
После перезагрузки повторите логи.Код:begin BC_QrFile('C:\WINDOWS\system32\drivers\smtpdrv.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\smtpdrv.sys'); BC_DeleteSvc('smtpdrv'); BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Пофиксил, затем выполнил скрипт. Ушел на перезагрузку, но завис, пришлось ресетом помочь.
в логах чисто ... осталось разобраться с этим.... чем пользуетесь ?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверь работоспособность фаервалла, если пользуешься виндусовым.
Надо закрывать ненужные службы.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
ПК в ЛВС компании. Больше ничем вроде не пользуюсь, кроме может этого
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Остальное отключить?
ХР поставили недели две назад, как настроили так и было. Запретили пользоваться Bat-ом и Mozzil-ой.
До этого 2000-й был года два - без проблем. Файерволом не пользуюсь, DrWeb отключаю часто, тормозит. В сети только по делу, на проверенных сайтах.
Спасибо большое за помощь.
отключаем остальное...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); RebootWindows(true); end.
Уважаемый(ая) vit496, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.