И видимо из-за него немогу просмотреть скрытые файлы!! У симантика просто выключил автомат. защиту!!(подругому не закрыть) Он его рубит... но этот негодяй видимо гдето засел... Помагите плиз!!!
И видимо из-за него немогу просмотреть скрытые файлы!! У симантика просто выключил автомат. защиту!!(подругому не закрыть) Он его рубит... но этот негодяй видимо гдето засел... Помагите плиз!!!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('D:\autorun.inf',''); QuarantineFile('C:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\amvo.exe',''); QuarantineFile('C:\WINDOWS\system32\amvo0.dll',''); DeleteFile('C:\WINDOWS\system32\amvo0.dll'); DeleteFile('C:\WINDOWS\system32\amvo.exe'); DeleteFile('C:\autorun.inf'); DeleteFile('D:\autorun.inf'); BC_ImportALL; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17577).
I am not young enough to know everything...
На локальные диски теперь входит нормально, но скрытые файлы показывать напроч отказываеться..... В чем может быть причина?
Загрузите карантин.
I am not young enough to know everything...
Я так понимаю что вы имели в виду....
Приложение 3. Как прислать запрошенные файлы.
1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.
Ну это то я зделал... или надо другое... если это то файл щас вышлю... ток скажите.. и все ли галки надо ставить?
Да, ставить все галки и загружать по вышеуказанной ссылке.
I am not young enough to know everything...
Файл весит 21 Мбайт.. лимит превышен... что делать... мож галки убрать какие... и полсе сделаного выше..вами просимого выполнего скрипта... следует ли опять:
Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.???
Откуда ж там столько?
Поставьте галки напротив файлов, упомянутых в скрипте в сообщ. #2.
Добавлено через 32 секунды
Логи пока делать не надо.
Последний раз редактировалось Bratez; 05.02.2008 в 16:56. Причина: Добавлено
I am not young enough to know everything...
Симантик и драйвера в систем32 убрал))) Вобщем вот... но меня еще волнует экзешник C:\Windows\SkyTel.exe и 2 подозрения на трояна... но не в этом суть, главное чтобы скрытые файлы увидел!!!
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin SetAVZGuardStatus(True); DeleteFile('C:\2ifetri.cmd'); DeleteFile('D:\2ifetri.cmd'); BC_ImportALL; ExecuteSysClean; ExecuteRepair(6); ExecuteRepair(8); BC_Activate; RebootWindows(true); end.
Посмотрите, нужно ли вам что-либо из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Усе!!! просто огромнейшее спасибо Bratez!!!
все видит и все открывает))
А на счет служб
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)(я думаю ненужна)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)(хз что это но я думаю лучше оставить)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)(тож хз что это, но я думаю ненадо)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)(не надо)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)(не надо)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)(не надо)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)(я так понимаю это Radmin если да. То надо)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя(это ко мне?? не надо)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику(не надо)
И еще один маленький вопросик.....
по техналогии написаного скрипта можно будет удалять любые вирусы??
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\autorun.inf','');(только др названия файла и все в этом духе??)
........
DeleteFile('D:\autorun.inf');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Еще раз пасибо!!!
Последний раз редактировалось Caypys; 05.02.2008 в 17:34.
Вот скрипт для отключения ненужного:
Анонимный доступ нужен, если есть локалка с общим доступом к файлам и принтерам. В этом случае уберите первую строчку после begin.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
RDSessMgr - это НЕ RAdmin.
Про "маленький вопросик": лучше сначала изучить документацию к AVZ и попрактиковаться в анализе логов на форуме. Применение скриптов без ясного понимания их действия может нанести вред системе.
I am not young enough to know everything...
Все сделал!! Все работает(пока...) Пасиба еще раз большое!!!
Про ответ на маленький вопросик учту!!! Востановление можно включить я понимаю?? и тему вы удоляете или самому??(и как? если самому)
Восстановление включить можно, а тему удалять незачем, другие тоже интересуются
I am not young enough to know everything...
Уважаемый(ая) Caypys, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.