-
Junior Member
- Вес репутации
- 63
помогите почистить остатки...
Добрый день.
На компе стоял семантек, базы давно просрочены...
поставил NOD32, обновил, он сразу нашел кучку троянов и вирусов, почистил вроде как...
но сдается мне что не все он почистил, так как некоторые файлы были защищены от удаления...
вот логи, гляньте плиз что там осталось...
спасибо.
Последний раз редактировалось Antonnio; 15.05.2008 в 14:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_3104.dll','');
QuarantineFile('C:\WINDOWS\system32\msnet.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Добавлено через 2 минуты
И пофиксите в HijackThis строчки:
Код:
O2 - BHO: Info cache - {385AB8C6-FB22-4D17-8834-064E2BA0A6F0} - C:\Documents and Settings\All Users\Application Data\Microsoft\PCTools\pctools.dll (file missing)
O2 - BHO: Outlook Web Controller - {C86488AF-13D5-4FEF-9DDF-9FB88698CFC1} - C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_3104.dll (file missing)
O9 - Extra button: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
O9 - Extra 'Tools' menuitem: ТЧИ¤№єОп - {EE60714F-AC17-427e-861A-FD60CBDF119A} - http://click2.ad4all.net/url2/urlmanage/url.asp?id=824 (file missing)
Последний раз редактировалось Bratez; 14.01.2008 в 15:03.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
карантин тут -
Файл сохранён как 080114_061118_virus_478b51666d20d.zip
Размер файла 68644
MD5 b74e5040d2718f15e072eb0e7212cfcf
-
C:\WINDOWS\system32\msnet.dll - Trojan-Downloader.Win32.Agent.hio
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_3104.dll в карантин не попал. Попробуйте его найти при помощи АВЗ -- сервис -- поиск файлов. Вышлети его по правилам.
В АВЗ Выполните
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\msnet.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
компьютер перезагрузится.
повторите логи.
-
Junior Member
- Вес репутации
- 63
Сообщение от
wise-wistful
C:\Documents and Settings\All Users\Application Data\Microsoft\OFFICE\USERDATA\webbrowser_3104.dll в карантин не попал. Попробуйте его найти при помощи АВЗ -- сервис -- поиск файлов.
нету... видимо грохнулся или AVZ или Нодом...
логи сделал...
Последний раз редактировалось Antonnio; 15.05.2008 в 14:37.
-
Выполните скрипт в AVZ
Код:
begin
SysCleanAddFile('C:\WINDOWS\system32\msnet.dll');
ExecuteSysClean;
RebootWindows(true);
end.
Повторите лог virusinfo_syscheck.zip.
Что из этого не нужно?
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
-
Junior Member
- Вес репутации
- 63
автозапуск программ с CDROM - пожалуй только это...
лог повторил...
Последний раз редактировалось Antonnio; 15.05.2008 в 14:37.
-
Выполните:
Код:
begin
DelCLSID('CAE41CE0-1855-4985-A332-7D83704A45B6');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
Последний лог для проверки повторите
-
-
Junior Member
- Вес репутации
- 63
Последний раз редактировалось Antonnio; 15.05.2008 в 14:37.
-
-