-
Файл в карантине чистый.
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\pdbcopy.exe,
Пришлите по правилам файл
C:\temp\HP_WebRelease\Setup\ImageZoneExpress\Lang1 028.cab
Добавлено через 1 минуту
Нужно ли вам что-то из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (TermService)
>> Службы: разрешена потенциально опасная служба Schedule (Schedule)
>> Службы: разрешена потенциально опасная служба RDSessMgr (RDSessMgr)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Лишнее отключим.
Последний раз редактировалось Bratez; 16.12.2007 в 16:26.
Причина: Добавлено
I am not young enough to know everything...
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 62
Файл отправила. Что нужно - не знаю. Стандартно для домашнего ПК?
-
Вот скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
(оставил автозапуск CD).
Больше ничего плохого у вас нет.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Спасибо всем огромное!!!
-
Junior Member
- Вес репутации
- 62
В продолжение вопроса.
После всех проделанных манипуляций осталась такая проблема. В эксплорере не запоминается информацияя вводимая ранее в любое поле ввода. То есть всякие логины и то что ищу в яндексе, например. При этом сам эксплорер часто виснет. Появяется окно iexplore.exe - программа не отвечает.
Вообще какие-то тормоза появились. Например, открываю в Тотал командер фото с помощью ACDSee, командер в диспетчере задач - не отвечает. Через полминуты фотка все-таки открылась и командет пришел в себя. Странно как-то.
-
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 18.02.2008 в 20:05.
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Phg05.sys','');
QuarantineFile('c:\docume~1\users\locals~1\temp\winlogon.exe','');
DeleteFile('c:\docume~1\users\locals~1\temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\Phg05.sys');
BC_DeleteSvc('Phg05');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ....
првторите логи ....
думаю вам стоит забыть что есть такой браузер ИЕ6 и поставить по защищенней ....а так же установить фаервол .... и все обновления безопасности ....
иначе этот процесс не закончится ...
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 18.02.2008 в 20:05.
-
winlogon.exe - Trojan-Proxy.Win32.Agent.vd
Второй не попался.
Попробуем такой скрипт:
Код:
begin
SearchRootkit(false, true);
RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Phg05', 'Start');
RebootWindows(true);
end.
После перезагрузки второй:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Drivers\Phg05.sys','');
DeleteFile('C:\WINDOWS\system32\Drivers\Phg05.sys');
BC_DeleteSvc('Phg05');
BC_DeleteFile('C:\WINDOWS\system32\Drivers\Phg05.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Добавлено через 30 секунд
и снова карантин и логи...
Последний раз редактировалось Bratez; 21.12.2007 в 16:31.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 62
Извините, не могла раньше добраться.
Новые логи и карантин.
К сожалению заменить ИЕ6 не могу по разным причинам.
Последний раз редактировалось Natrix; 18.02.2008 в 20:05.
-
Выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\C1.tmp','');
QuarantineFile('C:\WINDOWS\system32\drivers\symavc32.sys','');
BC_ImportQuarantineList;
BC_QrFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_QrSvc('symavc32');
BC_Activate;
RebootWindows(true);
end.
Карантин пришлите
-
-
Junior Member
- Вес репутации
- 62
-
C:\C1.tmp - Trojan-Dropper.Win32.Agent.dqf
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\C1.tmp');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Поищите через AVZ symavc32.sys и пришлите
-
-
Junior Member
- Вес репутации
- 62
-
Тогда почистим мусор:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_ImportDeletedList;
BC_DeleteFile('C:\WINDOWS\system32\drivers\symavc32.sys');
BC_DeleteSvc('symavc32');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Для проверки сделайте лог virusinfo_syscheck
-
-
Junior Member
- Вес репутации
- 62
Последний раз редактировалось Natrix; 18.02.2008 в 20:05.
-
-