Все сделала как написано в правилах, проблема:не удаляется startdrv.exe находящийся в C:\WINDOWS\TEMP\startdrv.exe
Все сделала как написано в правилах, проблема:не удаляется startdrv.exe находящийся в C:\WINDOWS\TEMP\startdrv.exe
Последний раз редактировалось marina580; 31.08.2008 в 20:19.
Пофиксите с помощью Hijackthis строчки:Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Код:F2 - REG:system.ini: UserInit=c:\windows\system32\userinit.exe,C:\windows\system32\ntos.exe, O2 - BHO: C:\WINDOWS\system32\hd783fdg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - (no file)Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=14887 , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правилКод:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\windows\system32\ntos.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winsto.exe',''); QuarantineFile('\SystemRoot\system32\drivers\runtime2.sys',''); BC_DeleteFile('\SystemRoot\system32\drivers\runtime2.sys'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winsto.exe'); BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winsto.exe'); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe'); BC_DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\windows\system32\ntos.exe'); BC_DeleteFile('C:\windows\system32\ntos.exe'); BC_DeleteFile('C:\WINDOWS\TEMP\startdrv.exe'); bc_deleteSVC('runtime2'); bc_deleteSVC('lich'); BC_ImportQuarantineList; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Последний раз редактировалось Numb; 05.12.2007 в 12:37. Причина: Поправил скрипт AVZ
Базы AVZ надо обновить, "Восст. системы" отключить.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
несколько раз компьютер вырубался и не открывались папки.
Пожалуйста, объясните по подробнее, что вообще мы делаем, и что должно происходить (ни разу этого не делала). Спасибо.
Последний раз редактировалось marina580; 31.08.2008 в 20:19.
Вообще-то пытались вылечить компьютер.
Я бы попросил лог из п.3 "Станд. скриптов" повторить. Еще раз повторюсь: "Восстановление системы" нужно отключить.
Профиксить вот эту строчку:
O4 - HKLM\..\Run: [startdrv] C:\windows\Temp\startdrv.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А что значит "Не отрывались папки"? Эта проблема и сейчас осталась?
Как отключить восстановление системы, написано здесь: http://virusinfo.info/showthread.php?t=4905
Отключила восстановление системы и сделала скрипт
Как проверить вылечился мой компьютер?
Последний раз редактировалось marina580; 31.08.2008 в 20:19.
Карантин от вас не пришел. Пожалуйста, загрузите его повторно по ссылке http://virusinfo.info/upload_virus.php?tid=14887
PavelA просил вас повторить скрипт лечения\карантина (программа AVZ - файл - стандартные скрипты - отметить пункт 3 - выполнить).
Какие-нибудь симптомы заражения остались?
startdrv.exe удалился , можно включить восстановление системы?
Добавлено через 12 минут
Что делать дальше?
Последний раз редактировалось marina580; 05.12.2007 в 15:53. Причина: Добавлено
Где же ваш карантин?
Сделайте повторно все три лога, прикрепите их к теме. Будем смотреть, все ли вылечили.
Как можно в этом разбираться, какие-то логи, скрипты .
Вроде все сделала как вы сказали.
[moderated! Карантин нужно присылать в соответствии с приложением 3 правил]
Последний раз редактировалось marina580; 31.08.2008 в 20:19.
в логах чисто ....
нужно разобраться с этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Карантин отослала, а что делать с предыдущем сообщением >>Службы..........
Сказать, что нужно, что нет.
I am not young enough to know everything...
А что дальше?
а дальше можем помочь закрыть ... если машина рабочая ... стоит предварительно посоветоваться с сисадмином ....
Пожалуйста, объясните конкретнее, что значит закрыть(что закрыть), что у меня с компьютером??? Компьютер рабочий очень много информации, пользователь один -я.
у вас запущены потенциально опасные службы .... если в них нет необходимости их лучше остановить ...
Скажите, пожалуйста, как их удалить и какие это службы?
Как это предотвратить в дальнейшем?
Пожалуйста, ответьте.
укажите область применения ПК ?Код:> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
Уважаемый(ая) marina580, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.