Junior Member
Вес репутации
60
После выполненных действий фаерволл все еще ругается на некоторые файлы
Выполнила все что было в правилах, помогло значительно так как на компе было сначало обнаруженно около 11 вредоносных файло, но в связи с выключением света отчет не сохранился, а потом еще 23 (уже довелось таки довести до конца)Фаерволл был установлен слишком поздно! )Может еще какая зараза осталасьВыдает предупреждение об alg.exe и svchost
Вложения
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Очистите карантин DrWeb'a:
C:\Documents and Settings\afon'ka\DoctorWeb\Quarantine
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\syslodr.exe','');
QuarantineFile('C:\WINDOWS\system32\service.exe','');
QuarantineFile('C:\WINDOWS\system32\codeblocks.exe','');
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\Documents and Settings\afonka\Local Settings\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\service.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\WINDOWS\system32\service.sys');
DeleteFile('C:\Documents and Settings\afonka\Local Settings\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\mmhren1.exe');
DeleteFile('C:\WINDOWS\system32\codeblocks.exe');
DeleteFile('C:\WINDOWS\system32\service.exe');
DeleteFile('C:\WINDOWS\system32\syslodr.exe');
BC_ImportALL;
BC_DeleteSvc('service.sys');
BC_DeleteSvc('Microsoft P2S Service');
ExecuteSysClean;
ExecuteRepair(16);
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил, если будет не пуст
(загружать тут: http://virusinfo.info/upload_virus.php?tid=17933 ).
Сделайте новые логи, начиная с п.10 правил.
I am not young enough to know everything...
Junior Member
Вес репутации
60
Все действия выполнены...пока непонятно что с ним )
Вложения
выполните скрипт ...
Код:
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\mmhren1.exe','');
QuarantineFile('C:\Documents and Settings\afonka\Local Settings\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\gsernt.sys','');
DeleteFile('C:\Documents and Settings\afonka\Local Settings\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\mmhren1.exe');
BC_Importall;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
Junior Member
Вес репутации
60
C:\WINDOWS\system32\DRIVERS\gsernt.sys - чистый
повторите логи ...
Junior Member
Вес репутации
60
Вложения
Junior Member
Вес репутации
60
Без наверное мне было бы совсем ужасно с этой грудой вирусняков
Профиксить в HijjackThis:
Код:
O4 - HKCU\..\Run: [Firewall auto setup] C:\Documents and Settings\afon'ka\Local Settings\Temp\winlogon.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Junior Member
Вес репутации
60
Вложения
выполните скрипт ...
Код:
begin
DeleteFile('C:\WINDOWS\mmhren1.exe');
SysCleanAddFile('C:\WINDOWS\mmhren1.exe');
ExecuteSysClean;
end.
повторите virusinfo_syscheck.zip
А потом выполните такой скрипт:
Код:
begin
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
RebootWindows(true);
end.
и повторите syscheck еще раз
(ну ладно, после скрипта V_Bond'a можно лог не делать )
I am not young enough to know everything...
Junior Member
Вес репутации
60
Скрипт выполнила, информацию загрузила
Вложения
Junior Member
Вес репутации
60
Сообщение от
Bratez
А потом выполните такой скрипт:
Код:
begin
RegKeyParamDel( 'HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Run');
RebootWindows(true);
end.
и повторите syscheck еще раз
(ну ладно, после скрипта V_Bond'a можно лог не делать
)
Только получила ваше сообщение! ) сейчас все будет )
Добавлено через 4 минуты
2Bratez и ваш скрипт успешно выполнен ! )
Последний раз редактировалось Nail; 13.02.2008 в 16:01 .
Причина: Добавлено
Junior Member
Вес репутации
60
А еще фаерволл выдает постоянно вот это :
Эт вобще нормально?
avast! Web Scanner пытается действовать как сервер .
Приложение ashWebSV.
Родитель Services.exe IP адреса и порты разные, но чаще 127.0.0.1 Порт 12080 -TCP;
Application Layer Gateway Service пытается действовать как сервер .
Приложение: alq.exe
Родитель services.exe IP: 127.0.0.1
Порт: listen(1025) - TCP
Вложения
Сообщения фаервола - нормально.
Строчка в автозапуске наконец удалилась.
Еще одну пустышку надо вычистить, извиняюсь - только сейчас ее увидел.
Выполните такой скрипт:
Код:
begin
BC_DeleteSvc('Rqj40');
BC_Activate;
RebootWindows(true);
end.
Далее, надо исправить это:
>> Нарушение ассоциации REG файлов
через AVZ - Файл - Мастер поиска и устранения проблем.
И наконец, рекомендуется отключить все что вам не нужно из этого списка:
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Junior Member
Вес репутации
60
Скрипт успешно выполнен,
ассоциации REG в порядке ! )
Спасибо)
Всем спасибо за помощь! Без Вас хоть вешайся! )
ЗЫ
Вот это мне кажется мне более всего не нужно:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Добавлено через 4 минуты
Еще несколько вопросов...извините
1 Стоит ли устанавливать Винду поверх этой? ( мне кажется вследствии борьбы с вирусами и их действия могли быть удалены какие то библиотеки данных нужных для действия винды)
2 И что если я все таки поставлю поверх не слетят ли все скрипты, которые вы мне писали ?
Последний раз редактировалось Nail; 13.02.2008 в 17:19 .
Причина: Добавлено
Вот скрипт для отключения ненужного:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
Если проблем больше нет, лог можно не повторять.
Добавлено через 1 минуту
Если все работает нормально, поверх переустанавливать не нужно.
Последний раз редактировалось Bratez; 13.02.2008 в 17:21 .
Причина: Добавлено
I am not young enough to know everything...
Junior Member
Вес репутации
60
Спасибо
Итог лечения
Статистика проведенного лечения:
Получено карантинов: 2 Обработано файлов: 21 В ходе лечения вредоносные программы в карантинах не обнаружены