-
Junior Member
- Вес репутации
- 63
не попасть в реестр!
удалил с компа NTOS.EXE, пофиксил в хайджеке, комп стал работать ощутимо шустрее, но по прежнему не дает попасть в реестр...
восстановление настроек в хайджеке не помогло...
вот логи...
поможите плиз, без вас пока не получается до конца справляться с вирусами самому...
Последний раз редактировалось Antonnio; 15.05.2008 в 14:37.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('F:\msconf.exe','');
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
DeleteFile('F:\msconf.exe');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
-
-
Junior Member
- Вес репутации
- 63
феноменально! Заработало. И доступ к реестру открылся.
сейчас будет карантин и логи.
Добавлено через 15 минут
в карантин правда ни ntos ни msconf.exe не попали, но попал какой-то другой файлик...
Последний раз редактировалось Antonnio; 22.01.2008 в 16:19.
Причина: Добавлено
-
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\avipit.exe','');
QuarantineFile('C:\WINDOWS\system32\msg32.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=16794).
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
Файл сохранён как 080122_073707_virus_4795f18386c33.zip
Размер файла 2911
MD5 b96fcedb8e26be7b3f98ab9eed5b49a7
и логи соответственно...
Последний раз редактировалось Antonnio; 15.05.2008 в 14:37.
-
Junior Member
- Вес репутации
- 63
Файл сохранён как 080122_074238_virus_4795f2ce61563.zip
Размер файла 19625
MD5 969e8e70e11c9cba4fe38a2d858ff0d1
это на скрипт Братца...
там тот же файл что и в первом случае + новый один...
-
Поищите C:\WINDOWS\system32\drivers\avipit.exe, если найдется - пришлите по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
к сожалению ни обычным способом, ни через AVZ этого файла не нашел...
-
Более ничего подозрительного в логах нет.
Осталось отключить все что вам не нужно из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
и можно спать спокойно
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 63
разрешен автозапуск программ с CDROM
вот пожалуй только это нужно...
Добавлено через 52 секунды
спасибо за помощь!
Последний раз редактировалось Antonnio; 22.01.2008 в 17:03.
Причина: Добавлено
-
для успокоения моей совести ....(если эта штука есть, она очень не хорошая а если нет , то хуже не будет )
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\drivers\avipit.exe');
BC_ImportDeletedList;
BC_Activate;
RebootWindows(true);
end.
Последний раз редактировалось V_Bond; 22.01.2008 в 17:14.
-
-
Junior Member
- Вес репутации
- 63
DeleteFile('C:\WINDOWS\system32\drivers\avipit.exe );
тут видимо апостраф еще нужен перед последней строчкой...
-
-
-
Junior Member
- Вес репутации
- 63
выполнил, каким скриптом мне службы не нужные отключить?
-
Сообщение от
Antonnio
каким скриптом мне службы не нужные отключить?
Вот:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
I am not young enough to know everything...
-