Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Удалил вирусы...остались ли? (http://forum.oszone.net/showthread.php?t=119900)

fikus 13-10-2008 09:10 922378
Удалил вирусы...остались ли?
 
Вложений: 1
При запуске компа выскакивало сообщение что-то типа "инструкция ....обратилась по адресу...память не может быть read...".
Проверил комп прогой Cureit-нашёл несколько вирусов,теперь мне нужно знать удалились вирусы или нет? А то SpyBot их удалял два раза,а они опять появляются.
Помогите пожалуйста.
Вот логи:

Pili 13-10-2008 10:00 922420
fikus, Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall, отключите в Spybot S&D TeaTimer.
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\SSFIEL~1.SCR','');
 QuarantineFile('C:\WINDOWS\system32\twext.exe','');
 QuarantineFile('srv.exe','');
 DeleteFile('srv.exe');
 DeleteFile('C:\WINDOWS\system32\srv.exe');
 DeleteFile('C:\WINDOWS\system32\twext.exe');
 DeleteService('RasAutoxmlprov');
BC_ImportAll;
ExecuteSysClean;
 BC_DeleteSvc('RasAutoxmlprov');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin       
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip отправьте на user15802[at]mail.ru, в теле письма укажите ссылку на тему.
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,
Повторите логи virusinfo_syscheck.zip и hijackthis

fikus 13-10-2008 11:02 922463
Выполнил 1 и 2 скрипты,отправил письмо с архивом и ссылкой,а вот с 3-им кодом проблема у меня нет этой строки:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe,


поэтому hijackthis.exe не стал запускать

Pili 13-10-2008 12:30 922521
Цитата:
Цитата fikus
нет этой строки:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\twext.exe, »
Значит AVZ постарался и убрал, пофиксите
Код:
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
Карантина в почте нет, сделайте новые логи.

fikus 13-10-2008 13:09 922553
Вложений: 2
Повторно выслал архив на указаный п\я,пофиксил код:R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.apeha.ru
Вот логи:

Pili 13-10-2008 13:25 922561
Цитата:
Цитата fikus
Повторно выслал архив на указаный п\я, »
выслали на user15802[at]mail.ru ? [at] = @
Пока ничего от вас не пришло.
Проблемы ещё наблюдаются?

fikus 13-10-2008 14:09 922607
Цитата:
Цитата Pili
выслали на user15802[at]mail.ru ? [at] = @ »
упс,пардон "user"- не заметил,сейчас отправляю ещё раз.

проблем пока нет.Спасибо огромное

Pili 13-10-2008 14:41 922631
fikus, twext.exe - TR/Dropper.Gen по Avira и Trojan-Spy.Win32.Zbot.fjk по Касперскому (уже удалили), srv.exe в карантин не попал, ssField Lines.scr - чист.
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставьте степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Рекомендую отключить неиспользуемые службы и настроить безопасность. По службам можно почитать здесь, если что не нужно - скажите, напишу скрипт отключения.
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге. Чистого вам интернета!


Время: 03:18.

Время: 03:18.
© OSzone.net 2001-