логи
логи
Последний раз редактировалось andrew70; 06.06.2008 в 15:16.
Проблемка вроде решилась на одном компе.
Надо лечить ещё два (на работе).
Вроде не считаетсяПроблемка вроде решилась на одном компе.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16675).
Сделайте новые логи.
I am not young enough to know everything...
Скрипт выполнил.
Вот новые логи.
Не понял какие файлы из карантина нужно загрузить?
Последний раз редактировалось andrew70; 06.06.2008 в 15:16.
Те, которые указаны в скрипте
C:\WINDOWS\system32\amvo.exe
C:\autorun.inf
C:\WINDOWS\system32\wincab.sys
C:\WINDOWS\system32\amvo0.dll
Я извиняюсь, но оказалась зараженной флешка.
Поэтому отправляю логи снова, т.к. опять всё тоже самое.
Скрипты выполнял с подключенной флешкой. Сделал правильно или нет? Получиться вылечить всё вместе?
Последний раз редактировалось andrew70; 06.06.2008 в 15:16.
Выполните скрипт в АВЗ (с флешкой)
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); QuarantineFile('E:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\wincab.sys',''); DeleteFile('C:\WINDOWS\system32\wincab.sys'); DeleteFile('C:\autorun.inf'); DeleteFile('E:\autorun.inf'); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16675).
Сделайте новые логи.
Сделал. Вот логи.
Файлов в карантине нет.
Последний раз редактировалось andrew70; 06.06.2008 в 15:16.
Всё убили. Поищите при помощи АВЗ сервис--поиск файлов на диске xn1i9x.com на диске С и на флешке.
Что либо из этого необходимо
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Вместе с флешкой вылечить не удалось. Скопировал нужные файлы на камп, флешку отформатировал и лечил без неё.
Предложенными для меня скриптами что-то не получалось. А вот этим, из другой темы, всё получилось сразу.
код.
Понимаю что не корректно, но проблема исчезла.PHP код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\drivers\FDCDNT.SYS','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
QuarantineFile('C:\windows\ffpext\ffpkbd.dll','');
QuarantineFile('c:\windows\ffpext\ffpsrv.exe','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
DeleteFile('E:\autorun.inf');
DeleteFile('F:\autorun.inf');
DeleteFile('I:\autorun.inf');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
Позднее отправлю новые логи. Надо бежать по делам.
Всем спасибо.
Здравствуйте.
Вот мои последние логи.
Так же высылаю карантин.
За ранее благодарю.
Последний раз редактировалось andrew70; 06.06.2008 в 15:17.
Гляньте, пожалуста, мои логи и карантин из предыдущего сообщения. А то я до конца не уверен, что всё в порядке. Спасибо.
В логах нормально.
из этого что-то используется
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Из этого ничем не пользуюсь.
Пользуюсь только программой Radmin (only client) для просмотра и управления другим компом на работе (просматриваю видеонаблюдение из дома).
Всё отключил в ручную.
Не смог найти только где >> Безопасность: к ПК разрешен доступ анонимного пользователя
Вот логи и карантин (какие-то два подозрительных файла?)
Напишите, пожалуйста, резюме по моему компу. Спасибо.
Последний раз редактировалось andrew70; 06.06.2008 в 15:17.
подозрительного ничего не заметил ...
для закрытичя доступа анонимного пользователя выполните скрипт ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RebootWindows(true); end.
На моём ноутбуке HP Compaq nx6110 есть два USB. В одном работает всё (мышки, флешки и т.д.), а вдругом работает не всё. Т.е. некоторые флешки и мышки распознаёт, а некоторые вообще не видит. (на других компах всё работает, т.е. неисправности мышки или флешки я не наблюдаю)
Переустановка драйверов ничего не дала. Переустанавливать систему нет желания. Может что-то подскажите?
переустановка системы ничего и не даст проблема в железе ...
Есть подозрения. Гляньте пожалуста логи.
в логах ничего подозрительного ....
Уважаемый(ая) andrew70, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.