"Похоже "зверек" у Вас живет..."

[Таська]

"Похоже "зверек" у Вас живет..."

сказали мне на другой ветке нашего форума ....

поэтому прошу посмотреть мои логи.

i

Уведомление:

Убрал карантин

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscheck.zip

hijackthis.log

Изменено 25 апреля, 2008 пользователем akoK

[akoK]

virusinfo_cure.zip - это карантин и он нам пока не нужен

Нужен лог virusinfo_syscure.zip

Я убираю карантин из предыдущего сообщения.

Panda File Shield Driver - заметены остатки панды

Базы AVZ довольно сильно устарели..надо обновить их и повторить логи только AVZ

Перед началом сбора логов включите все, что было отключенно через msconfig.

Проверьте Пуск-выполнить-msconfig-вкладка общие...посмотрите установленна ли галка на пункте "Обычный запуск" если нет установите.

Изменено 25 апреля, 2008 пользователем akoK

[akoK]

Пофиксить в HijackThis следующие строчки

O24 - Desktop Component 0: (no name) - http://www.odnoklassniki.ru/res/default/Images/gradbg.jpgO24 - Desktop Component 1: (no name) - http://i005.radikal.ru/0804/6b/6e984deee60d.jpg

Изменено 25 апреля, 2008 пользователем akoK

[Таська]

Все процессы загрузила через msconfig .

Базы AVZ обновила .

Указанные строчки пофиксила.

Вот новые логи.

Все 3 сделала заново.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

[akoK]

Вот она, вот она :)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\DOCUME~1\VALENT~1\LOCALS~1\Temp\svchost.exe','');DeleteFile('C:\DOCUME~1\VALENT~1\LOCALS~1\Temp\svchost.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на 6501<at>rambler.ru с указанной ссылкой на тему.

Да так и не понял, Панда у Вас установленна или хвосты торчат? (если установленна, то лучше не держать два антивируса)

Повторите лог hijackthis и virusinfo_syscheck

[Таська]

От Панды у меня точно - только хвосты. Я скачивала ее , а затем удалила, так как она не дружила с моим AntiVir -ом и Ad-Aware.

Логи посылаю .

А карантин не могу выслать .

Набираю в адресной строке Outlook 6501<at>rambler.ru и пишется , что некорректный адрес, что -то типа этого . Как быть?

hijackthis.log

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscheck.zip

[Таська]

akoK, может быть этот карантин выложить на файлообменник и прислать вам в ЛС электронный адрес ?

Можно?

[Matias]

Набираю в адресной строке Outlook 6501<at>rambler.ru и пишется , что некорректный адрес, что -то типа этого . Как быть?

Замените "at" на "@" (естественно, без кавычек).

[Таська]

:greedy: Спасибо, Matias , за подсказку.

Файл с карантином отправлен, akoK.

Жду дальнейших указаний.

[akoK]

В логах чисто. Осталось разобраться с антивирусами.

Какие проблемы остались?

P>S> карантин так и не получил попробуйте отправить на akok<at>pisem.net (at=@)

[Таська]

Отправила на этот адрес.

Там в логе hijackthis я видела слова Panda( но у меня же нет ее!!!) ... эта строка - самая предпоследняя в этом логе, может надо пофиксить эту строчку?

hijackthis.log

hijackthis.log

[akoK]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('ShldDrv', 4);BC_DeleteSvc('ShldDrv ');SetServiceStart('PavProc', 4);BC_DeleteSvc('PavProc');SetServiceStart('PavPrSrv', 4);BC_DeleteSvc('PavPrSrv');BC_DeleteFile('C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите лог virusinfo_syscheck...посмотрим, что осталось от панды

[Таська]

Вот, выполнила скрипт.

Прилагаю лог .

По пути возник еще вопрос...тас в логе написано, что

Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)

>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)

>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)

>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)

Может вы посоветуете мне удалить эти потенциальные уязвимости...мне нужны они....простому чайнику, не пользующимся удаленным доступом..

И как, если скажете - да.

О...ошиблась...хотела написать, что мне же НЕ нужны , наверное, эти службы , простому "чайнику"?

virusinfo_syscheck.zip

virusinfo_syscheck.zip

[Waik]

Посмотрите мои логи плз)

hijackthis.log

hijackthis.log

[Matias]

Посмотрите мои логи плз)

Прочитайте и выполните правила запроса. Во-первых, для каждого запроса надо открыть новую тему. Во-вторых, прикреплять надо три лога, а не один.

[Таська]

Ну, я думаю, что Waik понял, что не следует писАть в моей теме и открыл свою.

А я буду дожидаться своего доктора akoKа

[akoK]

Так от панды остался один драйвер

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('ShldDrv', 4);StopService('ShldDrv');DeleteFile('C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys');DeleteService('ShldDrv');BC_LogFile(GetAVZDirectory + 'boot_clr.log');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Прикрепите к следующему сообщению boot_clr.log из директории AVZ.

[akoK]

теперь разберемся со службами

Удаленный реестр, NetMeeting Remote Desktop Sharing, удаленный помощник отключим однозначно

Остались вопросы:

1) Служба обнаружения SSDP - включает обнаружение UPnP-устройств сети. (используете?)

2) Службы терминалов (Terminal Services) - Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов. (чем то из вышеперечисленного пользуетесь?)

Потом отключим все скопом. :doh:

Изменено 26 апреля, 2008 пользователем akoK

[Таська]

Нет, ничем перечисленным не пользуюсь.

Скрипт выполнила, но не могу найти

boot_clr.log из директории AVZ.

, чтобы отправить вам.

[akoK]

поищите в папке LOG

да забыл спросить, локальная сеть с общими ресурсами есть?

beginSetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end.

[Таська]

да забыл спросить, локальная сеть с общими ресурсами есть

Не знаю, что это такое. Но я одна в компе и все , что есть в компе -моё.

Сделала ошибку и поэтому не нашла boot_clr.log . Сейчас повторила скрип заново ,и доождалась пока сам комп перезагрузится. А первый раз я долго ждала - и перезагрузила сама. А сейчас дождалась, что сам комп перезагрузился без моего вмешательства.Вот поэтому лога и не было в первый раз!

boot_clr.log

boot_clr.log

[akoK]

Не знаю, что это такое. Но я одна в компе и все , что есть в компе -моё.

Ок отключаем почти все :doh:

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);end.

[Таська]

Всё сделала.

Выражаю огромную благодарность своему доктору - akoKу за лечение. :doh: