Trojan-Downloader.Win32.Zlob.eih

[BC0]

Повторите лог virusinfo_syscheck.zip.
Yes!
But....hm...

[Bratez]

Выполните такой скрипт:

Код:

begin
SetAVZGuardStatus(True);
DelBHO('{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}');
RegKeyParamDel('HKEY_USERS', '.DEFAULT\Software\Microsoft\Windows NT\CurrentVersion\Windows', 'Load');
RebootWindows(true);
end.

Посмотрите, нужно ли вам что-то из этого списка:

Код:

>> Services: potentially dangerous service allowed: TermService (Terminal Services)
>> Services: potentially dangerous service allowed: Schedule (Task Scheduler)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Remote Desktop Help Session Manager)
>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled

Лишнее отключим.

[BC0]

Выполнено !
....результат тот же насколько я понимаю
....отключайте - они не говорят ни о чем мне!

[Bratez]

результат тот же насколько я понимаю

Нет, упрямый параметр все-таки удалился.

Вот скрипт для отключения ненужных сервисов:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

Если есть локальная сеть с общим доступом к файлам и принтерам, то уберите из скрипта первую строчку после begin.

[BC0]

зараза теперь перемещена в карантин насколько я понимаю
Жду заключительных указаний!

[BC0]

[quote=V_Bond;174526]

1 в автозагрузке нужно оставить минимум программ .... только действительно необходимые ....

- was clean with prg - "Startup Inspector for Windows"

2 toolbar можно удалить через установку- удаление программ ....
- они там отсутствуют - в том то и проблема!
Все форумы забиты вопросами о их удалении потому как они не прописаны в через установку- удаление программ

Ваш совет?

3 кто -то из ваших антишпионов не дает достапа к реестру ... удалите их все ..они не нужны

Вообще? И не устанавливать даже вообще?

[V_Bond]

1 по вашему усмотрению
2 можем удалить насильно нет проблем
3 при наличии антивируса конечно устанвливать не стоит ..

[BC0]

2 можем удалить насильно нет проблем
yes!!! удалить насильно please!

Добавлено через 2 часа 11 минут

antivirus Avira inform about virus- HTML/ADODB.Exploit.Gen - Exploit
Any idea?

[Макcим]

Вы можете разговаривать на русском?

[V_Bond]

у вас влючено получение новочте от Avira .... вы получили что-то похожее http://www.avira.com/ru/threats/sect...ploit.gen.html ?

[BC0]

- Вы можете разговаривать на русском?
я то могу.вот мой компьютер не может отсутствует руская клавиатура.
- у вас влючено получение новочте от Avira .... вы получили что-то похожее http://www.avira.com/ru/threats/sect...ploit.gen.html ?

не вполне понимаю где отключить это но буду разбираться. спасибо.

последне я надеюсь помогите избавиться от этих.
toolbar нужно удалить
(можем удалить насильно нет проблем yes!!! удалить насильно please!)

[V_Bond]

удалим примочки от Yahoo!
пофиксите ...

Код:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://uk.red.clientapps.yahoo.com/customize/btyahoo/defaults/sb/*http://uk.docs .yahoo.com/info/bt_side.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.rd.yahoo.com/customize/ycomp/defaults/su/*http://uk.yahoo.com
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file
O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\PROGRA~1\Yahoo!\Common\yiesrvc.dll
O2 - BHO: SidebarAutoLaunch Class - {F2AA9440-6328-4933-B7C9-A6CCDF9CBF6D} - C:\Program Files\Yahoo!\browser\YSidebarIEBHO.dll

выполните скрипт ...

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\Yahoo!\browser\YSidebarIEBHO.dll');
DeleteFile('C:\PROGRA~1\Yahoo!\Common\yiesrvc.dll');
DeleteFile('C:\WINDOWS\system32\YPCSER~1.EXE');
DeleteFile('C:\PROGRA~1\Yahoo!\Common\ymmapi.dll');
BC_DeleteSvc('YPCService');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

[BC0]

мне кажется что заразу мы не вылечили все же

[V_Bond]

выполните скрипт ...

Код:

begin
 ClearQuarantine;
 QuarantineFile('C:\downloads\tool_en.com','');
 QuarantineFile('c:\windows\tsnpstd3.exe','');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

[BC0]

Yes! Done!

[V_Bond]

оба присланных файла чисты ...
в чем проявляюся проблемы ?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\mllmm.dll - not-a-virus:AdWare.Win32.Virtumonde.dqi (DrWEB: Trojan.Virtumod.257)
  2. c:\\windows\\system32\\mllmm.exe - Virus.Win32.Trats.d (DrWEB: Trojan.MulDrop.11190)