Использую антивирус NOD32 (обновлен).
Не могу побороть названный в теме файл. Думаю что дело не только в нем. Высылаю логи.
Использую антивирус NOD32 (обновлен).
Не могу побороть названный в теме файл. Думаю что дело не только в нем. Высылаю логи.
1.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin QuarantineFile('%WinDir%\Temp\startdrv.exe',''); QuarantineFile('%Windir%\system32\drivers\runtime.sys',''); QuarantineFile('%Windir%\system32\drivers\runtime2.sys',''); QuarantineFile('%Windir%\system32\drivers\ip6fw.sys',''); DeleteFile('%Windir%\Temp\startdrv.exe'); DeleteFile('%Windir%\system32\drivers\runtime2.sys'); DeleteFile('%Windir%\system32\drivers\runtime.sys'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
2.В avz выполнить скрипт:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZPMStatus(true); SetAVZGuardStatus(true); QuarantineFile('C:\WINDOWS\system32\svch6i8.dll',''); QuarantineFile('C:\WINDOWS\system32\jkd845jg.dll',''); QuarantineFile('C:\WINDOWS\system32\d4ghggf4g.dll',''); QuarantineFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll',''); QuarantineFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogan.exe',''); QuarantineFile('C:\WINDOWS\system32\_svchost.exe -A',''); QuarantineFile('\SystemRoot\system32\drivers\ctl_w32.sys',''); QuarantineFile('\??\C:\WINDOWS\system32\xpdx.sys',''); QuarantineFile('c:\windows\system32\_svchost.exe',''); DeleteFile('c:\windows\system32\_svchost.exe'); DeleteFile('\SystemRoot\system32\drivers\ctl_w32.sys'); DeleteFile('\??\C:\WINDOWS\system32\xpdx.sys'); DeleteFile('C:\WINDOWS\system32\_svchost.exe -A'); DeleteFile('C:\DOCUME~1\1\LOCALS~1\Temp\winlogan.exe'); DeleteFile('C:\Documents and Settings\All Users\Documents\Settings\partnership.dll'); DeleteFile('C:\WINDOWS\system32\d4ghggf4g.dll'); DeleteFile('C:\WINDOWS\system32\jkd845jg.dll'); DeleteFile('C:\WINDOWS\system32\svch6i8.dll'); ExecuteRepair(1); ExecuteRepair(2); ExecuteRepair(3); ExecuteRepair(4); ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(8); BC_ImportALL; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
3.Пофиксить в HiJackThis
4.Выслать карантин согласно приложению 3 правилКод:O2 - BHO: C:\WINDOWS\system32\jkd845jg.dll - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing) O2 - BHO: C:\WINDOWS\system32\d4ghggf4g.dll - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing) O3 - Toolbar: Rambler-Ассистент - {468CD8A9-7C25-45FA-969E-3D925C689DC4} - C:\Program Files\Rambler Assistant\ramblertoolbarU1.dll (file missing) O4 - HKCU\..\Run: [f94mggfhfghodftdf] C:\DOCUME~1\1\LOCALS~1\Temp\winlogan.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\svch6i8.dll O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Documents\Settings\partnership.dll O22 - SharedTaskScheduler: sdf4dr4gfdgeetj - {B5AC49A2-94F3-42BD-F434-2604812C897D} - C:\WINDOWS\system32\jkd845jg.dll (file missing) O22 - SharedTaskScheduler: JGhjddf9dtj - {B5AF0562-94F3-42BD-F434-2604812C297D} - C:\WINDOWS\system32\d4ghggf4g.dll (file missing) O23 - Service: Microsoft Inet Service - Unknown owner - C:\WINDOWS\system32\_svchost.exe
5.Повторите логи.
Высылаю новые логи...
Пофиксите в HijackThis:
Выполните скрипт в AVZ:Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
После перезагрузки пришлите новый карантин по правилам.Код:begin ClearQuarantine; QuarantineFile('C:\Documents and Settings\1\ie_updates3r.exe',''); DeleteFile('C:\Documents and Settings\1\ie_updates3r.exe'); DeleteFile('C:\RECYCLER\S-1-5-21-1993962763-1580818891-682003330-1003\Dc89.exe '); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Добавлено через 1 минуту
И посмотрите, нужно ли вам что-то из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry) >> Службы: разрешена потенциально опасная служба TermService (Terminal Services) >> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service) >> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 11.12.2007 в 16:28. Причина: Добавлено
I am not young enough to know everything...
Карантин выслал.
Думаю оставить надо следующее:
- автозапуск CD-ROM
- Task Sheduler
Маленький вопросик: не могу открыть настройку Брэндмауэра. Говорит доступно...
С чем может быть связано ?
Последний раз редактировалось ASG1975; 11.12.2007 в 18:20.
Что конкретно говорит система при попытке открыть?Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
При попытке открыть из панели управления выводит окно:
"Вследствие неопределенной ошибки не удается отобразить параметры брандмауэра Windows"
Всем спасибо!!!
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 22
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) ASG1975, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.