-
Junior Member
- Вес репутации
- 61
куча вирусов
Добрый день!
Нортон как-то странно работает,т.е Ваще не работает
Находит вирусы самые разные: трояны, руткиты, удаляет, но они появляются снова и снова. После загрузки система выдает: "состояние антивирусной защиты неизвестно".
Нортон обновляется, но дата обновления не отображается.
CureIT ничего не нашел.
Чё творится
Последний раз редактировалось squirrel-tw; 23.05.2008 в 11:46.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\Administrator\Local Settings\Temp\winlogon.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update_win.exe','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\update_win.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('C:\Documents and Settings\Administrator\Local Settings\Temp\winlogon.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Загрузите карантин согласно приложения 3 правил по ссылке http://virusinfo.info/upload_virus.php?tid=17865
Профиксите
O4 - Startup: MSWin--1692983118.exe
Повторите логи.
Добавлено через 30 минут
c:\docume~1\admini~1\locals~1\temp\winlogon.exe и C:\Documents and Settings\Administrator\Local Settings\Temp\winlogon.exe - Trojan.Win32.Agent.fdn, c:\windows\system32\svchost.exe:ext.exe:$DATA - Trojan.Win32.Agent.feb
Последний раз редактировалось wise-wistful; 11.02.2008 в 13:04.
Причина: Добавлено
-
Junior Member
- Вес репутации
- 61
все сделано
При выполнении всех действий ни разу ничего не вылезло.это уже хорошо
ИЕ говорит что ошибка в надстройке shockwave flash object и хочет закрыться.
Последний раз редактировалось squirrel-tw; 23.05.2008 в 11:46.
-
Пофиксите в HijackThis:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\i386kd.exe,
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\system32\i386kd.exe','');
DeleteFile('C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\i386kd.exe');
BC_ImportALL;
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст.
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось squirrel-tw; 23.05.2008 в 11:46.
-
Выполните в АВЗ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteSvc('FCI');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
и повторите hijackthis.log
Что-то из этого используется?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
-
Junior Member
- Вес репутации
- 61
используется
автозапуск с СД, остальное не надо
Последний раз редактировалось squirrel-tw; 23.05.2008 в 11:46.
-
Какой настырный сервис
Пуск - Выполнить - cmd
Наберите команду:
sc delete FCI
и нажмите Enter.
Повторите лог HijackThis.
Выполните в АВЗ для отключения ненужного:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAn onymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Pa rameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
-
Junior Member
- Вес репутации
- 61
Последний раз редактировалось squirrel-tw; 23.05.2008 в 11:46.
-
-
Junior Member
- Вес репутации
- 61