Добрый день.
Это уже второй компьютер... (мамай клянус, завтра снесу долбанный Symantec и поставлю NOD!)
Комп очень сильно тормозит (загрузка CPU 100%), ну и Symantec нашёл кучу вирусов (а толку-то...)
Добрый день.
Это уже второй компьютер... (мамай клянус, завтра снесу долбанный Symantec и поставлю NOD!)
Комп очень сильно тормозит (загрузка CPU 100%), ну и Symantec нашёл кучу вирусов (а толку-то...)
Последний раз редактировалось Grower; 02.04.2008 в 20:09.
Выполните:
Карантин пришлите сюда - http://virusinfo.info/upload_virus.php?tid=16605Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\DOCUME~1\3\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\system32\Drivers\SRTSPL.SYS',''); QuarantineFile('C:\WINDOWS\system32\drivers\wpsdrvnt.sys',''); QuarantineFile('C:\WINDOWS\System32\Drivers\SENTINEL.SYS',''); DeleteFile('C:\DOCUME~1\3\LOCALS~1\Temp\winlogon.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); BC_ImportAll; BC_DeleteSvc('FCI'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Пофиксьте в HJT если останется:
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасныхКод:O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\3\LOCALS~1\Temp\winlogon.exe
Похоже на файловый вирус. Запишите на здоровом компьютере CureIt! на компакт диск и проведите лечение с компакт-диска. Затем скачайте новую AVZ
Это другой компьютер?
To Maxim
Да, другой.
То rubin
Продиагностировал CureIt, скачал AVZ заново...
Вот новые логи:
-----------------
Карантин выслал:
Файл сохранён как 080120_075702_virus_4793532e58b20.zip
Размер файла 36922
MD5 c0060444b5c3bda134d01349a8391d32
Сейчас проверяю диск С: (NOD32), в корне какой-то файл hiberfil.sys
NOD его не может проверить (файл заблокирован)
Что это может быть за файл?
Последний раз редактировалось Grower; 02.04.2008 в 20:09.
hiberfil.sys - файл для сохранения состояния при переходе в спящий режим. Если таковой не применяется, можете отключить его через Панель управления - Электропитание, и файлик будет ликвидирован.
В логах все ОК.
Сообщите, что из этого нужно, остальное отключим:
Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
(Служба обнаружения SSDP) - я даже не знаю что это такое...
"к ПК разрешен доступ анонимного пользователя" - если все члены WORKGROUP ходят под одним именем, да ещё и без пароля, это нужно оставить?
Понял... Отключаем и SSDP...
Да, это оставим. Вот скрипт для отключения ненужного:если все члены WORKGROUP ходят под одним именем, да ещё и без пароля, это нужно оставить?
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Спасибо!
Уважаемый(ая) Grower, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.