-
Junior Member
- Вес репутации
- 61
Win32: The Banker.CUU и ntos.exe
Здравствуйте.
Мой антивирус avast4 находит, но не удаляет вирус Win32: The Banker.CUU. Вирус селится в системных файлах, антивирус их удаляет и система выдает ошибки. Уже удалилась svc_os.dll.
В компе 2 пользователя. 1 админ, 1 простой. Если зайти под простым, комп виснет. В диспетчере задач процесс ntos.exe занимает 80-100% загрузки процессора. Под админом такого нет.
Подскажите, пожалуйста, что делать?
Последний раз редактировалось Renault; 03.06.2008 в 17:41.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите..
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
выполните скрипт...
Код:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\system32\wsnpoem\audio.dll','');
QuarantineFile('C:\WINDOWS\system32\wsnpoem\video.dll','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('C:\WINDOWS\system32\wsnpoem\audio.dll');
DeleteFile('C:\WINDOWS\system32\wsnpoem\video.dll');
BC_DeleteSvc('msupdate');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил...
повторите логи...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось Renault; 03.06.2008 в 17:41.
-
Вот с этим нужно разобратся:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого нужно ?
-
-
Junior Member
- Вес репутации
- 61
Netmeeting-ом, планировщиком заданий, удаленным доступом вообще не пользуюсь.
Что такое ssdp, Служба терминалов и Удаленный помощник я не знаю.....
-
Это отключит все кроми автозапуска cd:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.
-
-
Junior Member
- Вес репутации
- 61
Вышло сообщение "Скрипт выполнен без ошибок". Все правильно?
-
Перегрузиться надо, в скрипте не было данной команды.
-