-
Junior Member
- Вес репутации
- 64
Другой комп в целом еле работает
Очевидных проблем ни с одной из программ нет. Они все супер тормозят. При запуске AVZ компьютер перегружается в момент Проверки папяти (п.2). Я почистил весь компьютер, убрал кучу неныжных программ, очистил около 9 Гб. Запустил AVZ в безопасном режиме. Сохранил все файлы для Вас. После этого AVZ стал выполнятся в обычном режиме, но не всегда.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 64
Не могу прикрепить файлы к этой теме - просит бесконечно ввести логин и пароль
-
Залейте на файлообменник и дайте ссылки
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 64
Последний раз редактировалось Palya; 17.03.2008 в 02:09.
-
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('lanmandrv', 4);
StopService('lanmandrv');
QuarantineFile('C:\WINDOWS\system32\qmmgcdec.exe','');
QuarantineFile('C:\WINDOWS\System32\lanmandrv.sys','');
QuarantineFile('C:\WINDOWS\System32\ocxloader.exe','');
QuarantineFile('C:\WINDOWS\System32\lanmanwrk.exe','');
DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
DeleteService('lanmandrv');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_DeleteFile('C:\WINDOWS\System32\lanmanwrk.exe');
BC_DeleteFile('C:\WINDOWS\System32\ocxloader.exe');
BC_DeleteFile('C:\WINDOWS\System32\lanmandrv.sys');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=16674
Попоробуйте повторить логи в обычном режиме
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 64
Закачал
Все сделал, правда долго мучился. Отмечу, что при выполнении скриптов в AVZ компьютер перегружался сразу же после движения мышью
Последний раз редактировалось Palya; 17.03.2008 в 02:09.
-
Junior Member
- Вес репутации
- 64
-
qmmgcdec.exe - Trojan-Dropper.Win32.Agent.cwg
Добавлено через 9 минут
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O4 - HKLM\..\Run: [KernelDrv.exe] C:\WINDOWS\System32\KernelDrv.exe
2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\kerneldrv.exe');
QuarantineFile('ksvcl.dll','');
QuarantineFile('c:\windows\system32\kerneldrv.exe','');
QuarantineFile('C:\WINDOWS\System32\Dll.dll','');
QuarantineFile('C:\WINDOWS\system32\qmmgcdec.exe','');
DeleteFile('C:\WINDOWS\system32\qmmgcdec.exe');
DeleteFile('C:\WINDOWS\System32\Dll.dll');
DeleteFile('c:\windows\system32\kerneldrv.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=
Это ваш домен hovrino.net?
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)
Отправьте пенсионера отдыхать установите SP2+ все обновления...
Повторите логи
Последний раз редактировалось akoK; 23.01.2008 в 14:07.
Причина: Добавлено
Microsoft Most Valuable Professional in Consumer Security
-
Junior Member
- Вес репутации
- 64
загрузил
По-поводу домена - это домен моего провайдера
Windows обновлю сегодня
Последний раз редактировалось Palya; 17.03.2008 в 02:09.
-
Ничего подозрительного нет.
Посмотрите, что из этого нужно:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
Лишнее отключим.
Добавлено через 1 минуту
Сообщение от
Palya
Windows обновлю сегодня
Имейте ввиду, что потребуется повторная активация, а старый кряк не сработает.
Последний раз редактировалось Bratez; 24.01.2008 в 15:55.
Причина: Добавлено
I am not young enough to know everything...
-
-
Trojan-Spy.Win32.Small.it C:\WINDOWS\System32\Dll.dll
Trojan-Downloader.Win32.Agent.hvw c:\windows\system32\kerneldrv.exe
Trojan-Dropper.Win32.Agent.cwq C:\WINDOWS\system32\qmmgcdec.exe
C:\WINDOWS\System32\ksvcl.dll - по вирустоталу чист
-
-
Junior Member
- Вес репутации
- 64
Вроде ничего не нужно, правда не знаю что такое:
Службы терминалов
SSDPSRV (Служба обнаружения SSDP)
Messenger (Служба сообщений)
Alerter (Оповещатель)
Про повторную активацию мне известно, как-то попадался на автоматическом обновлении
-
Скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
(Оставил автозапуск CD и анонимный доступ для локалки).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 64
Выполнил.
А что делать с карантином и др файлами созданными в процессе лечения?
-
Другие файлы - это логи, что ли. Какие-то проблемы остались?
Карантин и логи можете удалить.
-
Junior Member
- Вес репутации
- 64
-
Если есть сомнения, сделайте свежий комплект логов.
Предварительно обновите базы AVZ.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 64
При проверке DrWeb нашлись следующие файлы в директории c:/windows/sustem32:
17477.exe Trojan.LanMan
24475.exe Trojan.DownLoader.37560
24783.exe Trojan.LanMan
35080.exe Trojan.MulDrop.10462
-
нужны логи - увидим, что осталось
-