Помогите. При попытке удаления вируса Drweb перезагружается компьютер и вирус снова начинает работу.
Помогите. При попытке удаления вируса Drweb перезагружается компьютер и вирус снова начинает работу.
Последний раз редактировалось mangoose; 01.10.2009 в 10:50.
Выполните скрипт в AVZ"Пофиксите" в HijackThisКод:begin SearchRootkit(true, true); SetAVZGuardStatus(true); RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Wdi06\0000', 'CSConfigFlags', '1'); QuarantineFile('D:\WINDOWS\system32\DRIVERS\SDTHOOK.sys',''); QuarantineFile('D:\WINDOWS\system32\WLCtrl32.dll',''); DeleteFile('D:\WINDOWS\system32\WLCtrl32.dll'); BC_ImportALL; BC_DeleteFile('D:\WINDOWS\System32\drivers\Wdi06.sys'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.Загрузите карантин согласно приложению №3 правил.Код:O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O20 - Winlogon Notify: WLCtrl32 - D:\WINDOWS\SYSTEM32\WLCtrl32.dll
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Повторите логи.
Большое спасибо Maxim!!! Вот ноыве логи
Последний раз редактировалось mangoose; 01.10.2009 в 10:50.
Отключите восстановление системы и выполните скрипт ещё раз. Очень странно, все зловреды на местах.
Новые логи
Последний раз редактировалось mangoose; 22.06.2008 в 17:00.
Теперь гораздо лучше.
Выполните скрипт в AVZ:
Компьютер перезагрузится.Код:begin BC_DeleteSvc('Wdi06'); BC_Activate; RebootWindows(true); end.
Рекомендуется отключить все что вам не нужно из этого списка:
Сделайте лог syscheck для контроля.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
I am not young enough to know everything...
Некоторые службы не найду для отключения, видимо они по другому называются в XP.
Последний раз редактировалось mangoose; 22.06.2008 в 17:00.
В логах всё нормально. Какие службы отключить? Напишем скрипт.
AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Наслаждайтесь!Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); end.
Огромное спасибо Maxim, Bratez
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Уважаемый(ая) mangoose, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.