-
Junior Member
- Вес репутации
- 55
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы.
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
DelCLSID('73B24247-042E-4EF5-ADC2-42F62E6FD654');
SetAVZGuardStatus(True);
ExecuteRepair(9);
ClearQuarantine;
QuarantineFile('C:\WINDOWS\System32\sfcfiles.dll','');
QuarantineFile('C:\WINDOWS\system32\winsersec.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\WINSEC.SYS','');
ExecuteSysClean;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики и приложите к этой теме.
Отключите автоматическую перезагрузку:
Свойства компьютера - Дополнительно - Загрузка и восстановление - убрать галочку "Выполнить автоматическую перезагрузку"
Будет синей экран - спишите с него первые 2 строчки.
-
-
Junior Member
- Вес репутации
- 55
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
- Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('winser');
DeleteFile('C:\WINDOWS\system32\winsersec.exe');
DeleteService('winser');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('winser'');
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
После перезагрузки:
- Очистите темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным только Internet Explorer. Если он не запущен - запустите!!!
- Сделайте повторные логи
virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке Прислать запрошенный карантин вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
-
-
Junior Member
- Вес репутации
- 55
Скрипт не работает.Выдает -"Ошибка: 'j' exe ted в позиции 9:14"
-
Подправил:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('winser');
DeleteFile('C:\WINDOWS\system32\winsersec.exe');
DeleteService('winser');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('winser');
executerepair(6);
executerepair(8);
executerepair(9);
executerepair(11);
executerepair(16);
executerepair(17);
BC_Activate;
RebootWindows(true);
end.
-
-
Junior Member
- Вес репутации
- 55
Выполнил скрипт.Сделал все как говорили.Логи приклеиваю.
-
Ничего подозрительного в логах. Жалобы есть?
-
-
Junior Member
- Вес репутации
- 55
Появились.Выскакивает новая ошибка svchost.exe память не может быть read.Затем другая Icq.exe тоже не может быть read.AVZ нашла много всякого исправила,предложила перегрузить, второй раз проверили такая же фигня.Файлы прилагаю.
И еще скажите что означает "Безопасность: к ПК разрешен доступ анонимногопользователя".Как это убрать и что оно дает и чем чревато для меня?
Спасибо.
Последний раз редактировалось Rene-gad; 19.05.2009 в 10:02.
-
Сообщение от
vova_san
И еще скажите что означает "Безопасность: к ПК разрешен доступ анонимногопользователя".Как это убрать и что оно дает и чем чревато для меня?
Спасибо.
Это значит, что любой имеет доступ к ПК без аутентификации, т.е. даже не определяясь в системе, может войти в нее и совершать, пусть и ограниченные, но все-же действия. Имея навыки, знания и (или) спец.программы, можно такого в системе "наворотить", что потом компьютер и админа не пустит (это еще вполне безобидный вариант). Безопасность ПК в данном случае под потенциальной угрозой, о чем Вас и предупреждают.
Настройки:
Панель управления - Администрирование - Локальная политика безопасности -Локальные политики и Назначение прав пользователя - Параметры безопасности Здесь смотрим: "Доступ к компьютеру из сети", "Сетевой доступ: разрешать анонимный доступ к общим ресурсам". Все регулируется включением и выключением соответствующих разрешений-запретов.
А еще, лучше (если Вы не в домене) отключить "удаленный реестр".
-
-
Ничего подозрительного в логах. Ошибки системные, можно попробовать sfc /scannow или собраться с духом и переустановить винду.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 3
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\sfcfiles.dll - Trojan.Win32.Patched.fr
-