27.04.2010, 07:49 | #1 (ссылка) |
Новичок
Регистрация: 27.04.2010
Сообщений: 9
Репутация: 0
|
Вирус RC=3221225477
Здравствуйте!
Помогите, пожалуйста! Произошло заражение компьютера через флешку. На флешке появились файлы autorun.inf и корзина. А в самом компьютере в папке C:\Documents and Settings\Svetlana-S появился файл Desktop. Не удаляются. Утилита Dr.Web CureIt! показала вирус RC=3221225477 Проверка утилитой avz показала. http://narod.ru/disk/20158732000/avz_log.txt.html |
28.04.2010, 07:15 | #3 (ссылка) |
Новичок
Регистрация: 27.04.2010
Сообщений: 9
Репутация: 0
|
Извините, файл прикрепить не могу.
Антивирусная программа не находит вирусов, хотя в компьютере и на флешке они присутствуют. На флешке имеется корзина "ZERAVICA" и файл autorun. и ни одна антивирусная програма их не видит. Помогите, пожалуйста, избавиться от вирусов. И как можно вернуть на место произошедшую подмену диспетчера задач? |
28.04.2010, 07:37 | #4 (ссылка) |
Знаток
Регистрация: 01.07.2008
Сообщений: 2,830
Репутация: 211
|
Удалить авторан можно утилитойAnti-autorun 2.0
http://www.bombina.com/s3_anti_autorun.htm .А для лечения ПК нужен файл virusinfo_syscure.zip |
28.04.2010, 13:36 | #5 (ссылка) |
Знаток
|
Vetochka, здравствуйте.
Без логов по правилам, мы не сможет Вам помочь! Внимательно читаем и аккуратно выполняем: http://pchelpforum.ru/f26/t6442/ Полученные логи заливаем на файлообменник, и ссылки на логи вылаживаем на форуме в вашей теме. Как работать с программами читаем здесь: http://pchelpforum.ru/f26/t24207/ ---------- Добавлено в 08:36 ---------- Предыдущее сообщение было написано в 08:34 ---------- PS. Все вышесказанное проделываем со вставленной флешкой!!! |
01.05.2010, 10:21 | #6 (ссылка) |
Новичок
Регистрация: 27.04.2010
Сообщений: 9
Репутация: 0
|
Здравствуйте!
Спасибо за ссылки на полезную информацию. У меня вирус сбил настройки протокола интернета. Пришлось вручную устанавливать. А съемные носители отображаются в Моем компьютере как обычная папка, вместо стандартного значка. Лог AVZ http://narod.ru/disk/20295484000/vir...scure.zip.html Лог HiJackThis http://narod.ru/disk/20295502000/hijackthis.log.html Лог MBAM http://narod.ru/disk/20295796000/mba...9-14).txt.html Последний раз редактировалось Vetochka; 01.05.2010 в 09:18. |
01.05.2010, 11:55 | #7 (ссылка) |
Знаток
|
Vetochka, здравствуйте.
ОБЯЗЯТЕЛЬНО !!! Отключите компьютер от Интернет/локалки. Закройте/отключите на время выполнения скрипта всё защитное ПО !!! Закройте/выгрузите все программы кроме AVZ. Как выполнять скрипт и фиксить читаем здесь: http://pchelpforum.ru/f26/t24207/ AVZ, файл, выполнить скрипт - в открывшееся окно внимательно!!! вставить текст: Код:
begin SearchRootkit(true, true); SetAVZGuardStatus(True); TerminateProcessByName('C:\Documents and Settings\Svetlana-S\csrss.exe'); DeleteFile('C:\Documents and Settings\Svetlana-S\csrss.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportALL; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); BC_Activate; RebootWindows(true); end. Выполните в avz стандартный скрипт №2 и архив virusinfo_syscheck.zip залейте на файлообменник http://exfile.ru - и ссылку на форум. ---------- Добавлено в 06:55 ---------- Предыдущее сообщение было написано в 06:25 ---------- Vetochka, ну как успехи? Если что не получается или не понимаете - спрашивайте!!! |
01.05.2010, 11:58 | #8 (ссылка) |
Новичок
Регистрация: 27.04.2010
Сообщений: 9
Репутация: 0
|
Эдуард, большое спасибо за помощь. Делаю всё так, как Вы сказали.
Вот ссылка. http://exfile.ru/98119 |
Ads | |
01.05.2010, 12:19 | #9 (ссылка) |
Знаток
|
В логе больше ни чего злого не заметил.
Однако не помешает удалить Bonjour Service - это не вирус, однако он совершенно не нужен в системе. ---- Пуск – Выполнить – cmd). Вставляем: Код:
sc stop "Bonjour Service" Этим мы остановили сервис ---- Код:
sc delete "Bonjour Service" Этим мы удалили его. ---- Еще у вас в системе остались остатки от антивируса Др.Веб. Их тоже нужно удалить. Скачайте программу от производителя антивируса, и удалите остатки антивируса ней. ftp://ftp.drweb.com/pub/drweb/tools/drw_remover-x86.exe ---------- Добавлено в 07:19 ---------- Предыдущее сообщение было написано в 07:13 ---------- Когда все вышесказанное проделаете, выполните еще раз в AVZ стандартный скрипт №2 со вставленной флешкой - посмотрим, не осталось ли чего плохого! |
01.05.2010, 12:34 | #10 (ссылка) |
Новичок
Регистрация: 27.04.2010
Сообщений: 9
Репутация: 0
|
Все вышеперечисленное сделала, но не уверена, что "Bonjour Service" удалился.
AVZ скрипт № 2. http://exfile.ru/98121 А на флешке присутствует autorun.inf и корзина ZERAVICA. |
01.05.2010, 12:55 | #13 (ссылка) | |
Знаток
|
Цитата:
---------- Добавлено в 07:55 ---------- Предыдущее сообщение было написано в 07:51 ---------- Чем из этого не пользуетесь? ---- Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя |
|
01.05.2010, 13:05 | #14 (ссылка) | |
Новичок
Регистрация: 27.04.2010
Сообщений: 9
Репутация: 0
|
После запуска программы anti autorun и форматирования флешки, я их пока не вижу.
Цитата:
|
|
01.05.2010, 13:12 | #15 (ссылка) |
Знаток
|
Про флешку - все понял, она теперь чистая!
Можно закрыть доступ, но кое что оставим! Сейчас напишу скрипт, которым закроем доступ к наиболее опасным службам! 5 сек. ---------- Добавлено в 08:12 ---------- Предыдущее сообщение было написано в 08:08 ---------- Выполните скрипт в AVZ: Код:
begin SetServiceStart('TermService', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('RDSessMgr', 4); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RebootWindows(true); end. |
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1) | |
|
|
Похожие темы | ||||
Тема | Автор | Раздел | Ответов | Последнее сообщение |
что это? вирус!!! | Ravlik | Безопасность | 10 | 27.12.2010 19:16 |
вирус | Jose | Безопасность | 4 | 21.12.2010 13:03 |
Вирус | The Lucifier | Безопасность | 10 | 05.08.2010 12:15 |
Вирус (реклама) который утверждает что он не вирус и подавляет все действия | Vado | Безопасность | 3 | 13.06.2010 16:40 |
Вирус. | ale553312 | Безопасность | 2 | 25.01.2010 17:23 |
Вирус... | Пользователь | Безопасность | 7 | 09.11.2009 12:40 |
Вирус? | Raf-4 | Windows Vista | 2 | 06.11.2009 22:29 |
Вирус ли это? | lebka11 | Безопасность | 1 | 17.10.2009 16:26 |
вирус | Sipuga | Безопасность | 9 | 21.07.2009 18:31 |
Вирус или нет? | SeLLer | Безопасность | 3 | 22.06.2009 14:57 |
Вирус | TheFcn | Безопасность | 1 | 21.06.2009 18:00 |
Вирус? | Cembalo | Безопасность | 1 | 06.03.2009 19:29 |