Junior Member
Вес репутации
60
Не удаляется вирус
Здравствуйте! У меня такая проблемка - Касперский обнаружил троян Trojan-Downloader.Win32.Small.hwc Нажимаю удалить - пишет, что после перезагрузки, но после нее вирус снова появляется. Попутно появляется еще какая-то "гадость", которую Каспер успешно удаляет. Жду вашего ответа.
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
выполните скрипт ...
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('Jpv85', 4);
SetServiceStart('smtpdrv', 4);
SetServiceStart('Oph40', 4);
QuarantineFile('C:\WINDOWS\System32\Drivers\Jpv85.sys','');
QuarantineFile('Oph40.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\WINDOWS\TEMP\winlogan.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\msftp.dll','');
QuarantineFile('c:\windows\system32\drivers\spool.exe','');
QuarantineFile('c:\documents and settings\user.ljfkhtdkhyflyu\local settings\application data\cftmon.exe','');
DeleteFile('c:\documents and settings\user.ljfkhtdkhyflyu\local settings\application data\cftmon.exe');
DeleteFile('C:\Documents and Settings\LocalService.NT AUTHORITY\Local Settings\Application Data\cftmon.exe');
DeleteFile('c:\windows\system32\drivers\spool.exe');
DeleteFile('C:\WINDOWS\system32\msftp.dll');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\Jpv85.sys');
DeleteFile('Oph40.sys');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\TEMP\winlogan.exe');
BC_DeleteSvc('smtpdrv');
BC_DeleteSvc('Oph40');
BC_DeleteSvc('Jpv85');
BC_DeleteSvc('Microsoft P2P2 Service');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ...
Junior Member
Вес репутации
60
Карантин выслал.
Вот логи.
Вложения
Почти чисто.
Пофиксите в HijackThis:
Код:
O2 - BHO: C:\WINDOWS\system32\J8dj3jg.dll - {B5AC49A2-94F2-42BD-F434-2604812C897D} - (no file)
O2 - BHO: C:\WINDOWS\system32\Hfkr4g.dll - {B5AF0562-94F3-42BD-F434-2604812C797D} - (no file)
O20 - Winlogon Notify: partnershipreg - C:\WINDOWS\
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
ExecuteRepair(17);
BC_QrSvc('NdisWon');
BC_DeleteSvc('NdisWon');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если туда что-то попадет.
Посмотрите, нужно ли вам что-либо из этого:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Лишнее отключим.
I am not young enough to know everything...
Junior Member
Вес репутации
60
В карантин вроде бы ничего не попалось.
Из приведенного списка ничем не пользуюсь.
т.е у вас нет локольной сети ....
тогда такой скрипт ...
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Junior Member
Вес репутации
60
Большое спасибо! Все в порядке!
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 1 Обработано файлов: 1 В ходе лечения вредоносные программы в карантинах не обнаружены