Здравствуйте. Вот такая беда: обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\usrv80.dll//PE_Patch.UPX//UPX. Касперский пишет: "Лечение невозможно: отсутствуют права на запись". Что можно сделать? Спасибо
Здравствуйте. Вот такая беда: обнаружено: троянская программа Trojan-Downloader.Win32.Delf.dbo Файл: C:\WINDOWS\system32\usrv80.dll//PE_Patch.UPX//UPX. Касперский пишет: "Лечение невозможно: отсутствуют права на запись". Что можно сделать? Спасибо
Выполните скрипт:
Карантин пришлите по п.3 ПравилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\usrv80.dll',''); QuarantineFile('C:\WINDOWS\system32\ovrscn.dll',''); QuarantineFile('C:\WINDOWS\system32\rpcc.dll',''); QuarantineFile('C:\WINDOWS\system32\a3dx8.dll',''); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\a5js4fr.dll',''); QuarantineFile('bqwhmryo.dat',''); DeleteFile('C:\WINDOWS\system32\a5js4fr.dll'); DeleteFile('C:\WINDOWS\system32\a3dx8.dll'); DeleteFile('C:\WINDOWS\system32\ntos.exe'); DeleteFile('C:\WINDOWS\system32\rpcc.dll'); DeleteFile('C:\WINDOWS\system32\ovrscn.dll'); DeleteFile('C:\WINDOWS\system32\usrv80.dll'); BC_ImportAll; BC_QrFile('C:\WINDOWS\system32\fci.exe'); BC_QrFile('c:\windows\system32\mssrv32.exe'); BC_DeleteFile('C:\WINDOWS\system32\fci.exe'); BC_DeleteFile('c:\windows\system32\mssrv32.exe'); BC_QrSvc('FCI'); BC_QrSvc('msupdate'); BC_DeleteSvc('FCI'); BC_DeleteSvc('msupdate'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Спасибо. Карантин отправила
Trojan.Win32.Agent.cid C:\WINDOWS\system32\Drivers\bqwhmryo.dat
Trojan-Downloader.Win32.Delf.dbo C:\WINDOWS\system32\usrv80.dll
Затем повторите логи для проверкиКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\Drivers\bqwhmryo.dat'); BC_ImportDeletedList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Спасибо еще раз. Извините, а что значит повторить логи?
Сделать те же самые логи, которые Вы прикрепляли к Вашему первому посту: hijackthis и т.п.
Ок. Вот они
Пофиксьте:
Что из этого не нужно?Код:O2 - BHO: (no name) - {2D4A6D39-0E58-4F72-B61B-198AA4633303} - C:\WINDOWS\system32\usrv80.dll (file missing) O2 - BHO: C:\WINDOWS\system32\a5js4fr.dll - {8D5849C4-93F3-429D-FF34-260A2068897C} - (no file) O8 - Extra context menu item: &Search - ?p=ZRxdm427YYRU O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file) O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU) O20 - Winlogon Notify: A3dxq - C:\WINDOWS\ O20 - Winlogon Notify: ovrscn - ovrscn.dll (file missing) O20 - Winlogon Notify: rpcc - C:\WINDOWS\
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Все сделала. По поводу того, что не нужно - я в этом не очень разбираюсь, ну судя по содержанию, я думаю, что не нужно вот это:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что с этим нужно сделать?
Если локальной сети нет, то и административный доступ к дискам можно отключитьКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
Все сделала. По поводу локальной сети - не знаю, у меня 2 компьютера, к одному подключен кабельный модем через usb, ко второму он подключен к сетевой карте. Но это вроде не сеть?... Еще хочу спросить - почему-то не отображаются параметры брандмауэра windows, но может это не связано с вирусами?.. Спасибо.
Брандмауэр Windows - все равно бесполезная вещь Ставьте нормальный полноценный firewall... либо антивирус со встроенным файерволлом
Ок, спасибо большое за вашу помощь.
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 21
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\drivers\\bqwhmryo.dat - Trojan.Win32.Agent.cid (DrWEB: Trojan.Sentinel)
- c:\\windows\\system32\\usrv80.dll - Rootkit.Win32.Podnuha.y (DrWEB: Trojan.DownLoader.37340)
Уважаемый(ая) Катарина, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.