После лечения CureIt, avz продолжает ругаться на некоторые файлы. Посомтрите пожалуйста.
После лечения CureIt, avz продолжает ругаться на некоторые файлы. Посомтрите пожалуйста.
Последний раз редактировалось EgorovEgor; 07.06.2009 в 13:47.
sptd.sys - это Daemon Tools.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\Downloaded Program Files\Excellence.dll',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll',''); QuarantineFile('C:\WINDOWS\system32\BICR_ADM.DLL',''); QuarantineFile('C:\Program Files\Common Files\CFT Shared\RC\rcupd.dll',''); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил.
I am not young enough to know everything...
Карантин выслал.
Файл сохранён как 071122_055626_virus_47456e6a9458f.zip
Размер файла 210327
MD5 aefa6bbb2ea63efa1deb616a04671b3b
По карантину подождем вердикта ЛК, есть кое-что подозрительное...
Пока сделайте новый лог HijackThis.
I am not young enough to know everything...
Вот.
Последний раз редактировалось EgorovEgor; 07.06.2009 в 13:47.
В этом логе чисто
avz00001.dta, avz00002.dta - not-a-virus:AdWare.Win32.FunWeb.f
хотя почему-то в базы пока не добавили, наверное работы много.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O16 - DPF: {2AF0C7B1-9389-11D8-869A-0020ED529CEE} (HTTPFileCtl Class) - https://83.219.12.98/RSPortal/StartHTML/HTTPFile.cab O16 - DPF: {E9B3E692-7AA4-11D5-857A-0000B4503751} (Excellence Class) - https://83.219.12.98/RSPortal/StartHTML/Excellence.cab
Ну и для профилактики вот это посмотрите:Код:begin SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\DOWNLO~1\HTTPFile.dll'); DeleteFile('C:\WINDOWS\Downloaded Program Files\Excellence.dll'); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Что вам не нужно - отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Да вроде все не нужны
Вот скрипт (автозапуск CD оставил):
Если есть локалка с общим доступом к файлам и принтерам, красную строчку из скрипта уберите.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
А как назад включить службы?
Команда скрипта:
SetServiceStart('имя_службы', 2);
включает тип запуска Авто...
А проще запустить services.msc, там все удобно и понятно.
I am not young enough to know everything...
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 14
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) EgorovEgor, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.