Jump to content
СофтФорум - всё о компьютерах и не только

"Похоже "зверек" у Вас живет..."


Recommended Posts

"Похоже "зверек" у Вас живет..."

сказали мне на другой ветке нашего форума ....

поэтому прошу посмотреть мои логи.

i

Уведомление:

Убрал карантин

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscheck.zip

hijackthis.log

Edited by akoK
Link to comment
Share on other sites

virusinfo_cure.zip - это карантин и он нам пока не нужен

Нужен лог virusinfo_syscure.zip

Я убираю карантин из предыдущего сообщения.

Panda File Shield Driver - заметены остатки панды

Базы AVZ довольно сильно устарели..надо обновить их и повторить логи только AVZ

Перед началом сбора логов включите все, что было отключенно через msconfig.

Проверьте Пуск-выполнить-msconfig-вкладка общие...посмотрите установленна ли галка на пункте "Обычный запуск" если нет установите.

Edited by akoK
Link to comment
Share on other sites

Пофиксить в HijackThis следующие строчки

O24 - Desktop Component 0: (no name) - http://www.odnoklassniki.ru/res/default/Images/gradbg.jpgO24 - Desktop Component 1: (no name) - http://i005.radikal.ru/0804/6b/6e984deee60d.jpg
Edited by akoK
Link to comment
Share on other sites

Все процессы загрузила через msconfig .

Базы AVZ обновила .

Указанные строчки пофиксила.

Вот новые логи.

Все 3 сделала заново.

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

hijackthis.log

Link to comment
Share on other sites

Вот она, вот она :)

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\DOCUME~1\VALENT~1\LOCALS~1\Temp\svchost.exe','');DeleteFile('C:\DOCUME~1\VALENT~1\LOCALS~1\Temp\svchost.exe');BC_ImportALL;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

Полученный архив отправьте на 6501<at>rambler.ru с указанной ссылкой на тему.

Да так и не понял, Панда у Вас установленна или хвосты торчат? (если установленна, то лучше не держать два антивируса)

Повторите лог hijackthis и virusinfo_syscheck

Link to comment
Share on other sites

От Панды у меня точно - только хвосты. Я скачивала ее , а затем удалила, так как она не дружила с моим AntiVir -ом и Ad-Aware.

Логи посылаю .

А карантин не могу выслать . :(

Набираю в адресной строке Outlook 6501<at>rambler.ru и пишется , что некорректный адрес, что -то типа этого . Как быть?

hijackthis.log

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscheck.zip

Link to comment
Share on other sites

Набираю в адресной строке Outlook 6501<at>rambler.ru и пишется , что некорректный адрес, что -то типа этого . Как быть?

Замените "at" на "@" (естественно, без кавычек).

Link to comment
Share on other sites

В логах чисто. Осталось разобраться с антивирусами.

Какие проблемы остались?

P>S> карантин так и не получил :( попробуйте отправить на akok<at>pisem.net (at=@)

Link to comment
Share on other sites

Отправила на этот адрес.

Там в логе hijackthis я видела слова Panda( но у меня же нет ее!!!) ... эта строка - самая предпоследняя в этом логе, может надо пофиксить эту строчку?

hijackthis.log

hijackthis.log

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('ShldDrv', 4);BC_DeleteSvc('ShldDrv ');SetServiceStart('PavProc', 4);BC_DeleteSvc('PavProc');SetServiceStart('PavPrSrv', 4);BC_DeleteSvc('PavPrSrv');BC_DeleteFile('C:\Program Files\Common Files\Panda Software\PavShld\pavprsrv.exe');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\PavProc.sys');BC_DeleteFile('C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys');BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Повторите лог virusinfo_syscheck...посмотрим, что осталось от панды

Link to comment
Share on other sites

Вот, выполнила скрипт.

Прилагаю лог .

По пути возник еще вопрос...тас в логе написано, что

Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)

>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)

>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)

>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)

Может вы посоветуете мне удалить эти потенциальные уязвимости...мне нужны они....простому чайнику, не пользующимся удаленным доступом..

И как, если скажете - да.

О...ошиблась...хотела написать, что мне же НЕ нужны , наверное, эти службы , простому "чайнику"?

virusinfo_syscheck.zip

virusinfo_syscheck.zip

Link to comment
Share on other sites

Посмотрите мои логи плз)

Прочитайте и выполните правила запроса. Во-первых, для каждого запроса надо открыть новую тему. Во-вторых, прикреплять надо три лога, а не один.

Link to comment
Share on other sites

Так от панды остался один драйвер

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(true);SetServiceStart('ShldDrv', 4);StopService('ShldDrv');DeleteFile('C:\WINDOWS\system32\DRIVERS\ShlDrv51.sys');DeleteService('ShldDrv');BC_LogFile(GetAVZDirectory + 'boot_clr.log');BC_ImportDeletedList;BC_Activate;ExecuteSysClean;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Прикрепите к следующему сообщению boot_clr.log из директории AVZ.

Link to comment
Share on other sites

теперь разберемся со службами

Удаленный реестр, NetMeeting Remote Desktop Sharing, удаленный помощник отключим однозначно

Остались вопросы:

1) Служба обнаружения SSDP - включает обнаружение UPnP-устройств сети. (используете?)

2) Службы терминалов (Terminal Services) - Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов. (чем то из вышеперечисленного пользуетесь?)

Потом отключим все скопом. :doh:

Edited by akoK
Link to comment
Share on other sites

поищите в папке LOG

да забыл спросить, локальная сеть с общими ресурсами есть?

beginSetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end.
Link to comment
Share on other sites

да забыл спросить, локальная сеть с общими ресурсами есть

Не знаю, что это такое. Но я одна в компе и все , что есть в компе -моё.

Сделала ошибку и поэтому не нашла boot_clr.log . Сейчас повторила скрип заново ,и доождалась пока сам комп перезагрузится. А первый раз я долго ждала - и перезагрузила сама. А сейчас дождалась, что сам комп перезагрузился без моего вмешательства.Вот поэтому лога и не было в первый раз!

boot_clr.log

boot_clr.log

Link to comment
Share on other sites

Не знаю, что это такое. Но я одна в компе и все , что есть в компе -моё.

Ок отключаем почти все :doh:

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);end.
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...