Подозрение на трояны

[szef]

Логи:

[drongo]

Почему базы авз не обновили? Да и на систему заплатки все стоят? Что-то не похоже с 7ым ехплорером.
C:\WINDOWS.1\INF\custom.inf откройте блокнотом и скопируйте текст сюда, полезно будет посмотреть.
Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS.1\System32\els.dll','');
 QuarantineFile('C:\WINDOWS.1\System32\appdrvrem01.exe','');
 QuarantineFile('C:\WINDOWS.1\System32\drivers\afd.sys','');
 QuarantineFile('c:\windows.1\system32\csrcs.exe','');
BC_ImportALL;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенный карантин" над первым сообщением темы)
Продолжим.

[szef]

Avz скачал у Вас с сайта по ссылкам отсюда http://virusinfo.info/pravila.html сегодня утром.
Компьютер не мой, попросили посмотреть, поэтому про заплатки точно сказать не могу, но на 95% никаких специальных обновлений не делалось.
C:\WINDOWS.1\INF\custom.inf:

Код:

[Version]
signature = $CHICAGO$
SetupClass=BASE

[Optional Components]
CustomSetting

[CustomSetting]
OptionDesc	= "Custom Setting"
Tip		= "Тонкая настройка Windows"
Modes		= 0,1,2,3
AddReg		= Custom.AddReg

;******************************************************************
;
;  Для удобства все твики разделены на секции и прокомментированы
;  
;  Для порядка добавляем твики в соответствующие секции
;  Например, HKLM,"SOFTWARE\... добавляем в секции [HKLM.*]
;            HKCU,"SOFTWARE\... добавляем в секции [HKCU.*] и.т.д.
;
;******************************************************************


[DefaultInstall]
AddReg	   = Custom.AddReg
AddReg     = HKCR.AddReg, HKLM.AddReg, HKCU.AddReg, HKU.AddReg, FirstLogon.AddReg
DelReg     = HKCR.DelReg, HKLM.DelReg, HKCU.DelReg, HKU.DelReg
AddReg     = HKCR.FirstLogonOnceAddReg, HKLM.FirstLogonOnceAddReg, HKCU.FirstLogonOnceAddReg, HKU.FirstLogonOnceAddReg
DelReg     = TECH.FirstLogonOnceDelReg, HKCR.FirstLogonOnceDelReg, HKLM.FirstLogonOnceDelReg, HKCU.FirstLogonOnceDelReg, HKU.FirstLogonOnceDelReg
AddReg     = HKCU.NewUserAlwasAddReg
DelReg     = HKCU.NewUserAlwasDelReg




[Custom.AddReg]
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce","ZZ_CustomSetting_0",0x20000,"%SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\custom.inf,CustomInstall,0"
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce","ZZ_CustomSetting_1",0x20000,"%SystemRoot%\System32\cmd.exe /C MD %TempDir%"
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce","ZZ_CustomSetting_3",0x20000,"%SystemRoot%\System32\cmd.exe /C Echo Y | Cacls %TempDir% /E /P "Все":F"

[FirstLogon.AddReg]
HKU,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce","ZZZZ1_FirstLogonSetting",0x20000,"%SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\custom.inf,OnceFirstLogonInstall,0"
HKU,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce","ZZZZ2_FirstLogonSetting",0x20000,"%SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\custom.inf,NewUserFirstLogonInstall,0"
;Нужно только для WinXp Home OEM - в ней иногда не создается ярлык активации.
;HKU,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce","ZZZZ3_FirstLogonOOBE_FIX",0x20000,"%SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection %17%\syssetup.inf,RESTORE_OOBE_ACTIVATE,0"


;Delayed add tweaks
[CustomInstall]
AddReg     = HKCR.AddReg, HKLM.AddReg, HKCU.AddReg, HKU.AddReg, FirstLogon.AddReg
DelReg     = HKCR.DelReg, HKLM.DelReg, HKCU.DelReg, HKU.DelReg


;First logon once add tweak
[OnceFirstLogonInstall]
AddReg     = HKCR.FirstLogonOnceAddReg, HKLM.FirstLogonOnceAddReg, HKCU.FirstLogonOnceAddReg, HKU.FirstLogonOnceAddReg
DelReg     = TECH.FirstLogonOnceDelReg, HKCR.FirstLogonOnceDelReg, HKLM.FirstLogonOnceDelReg, HKCU.FirstLogonOnceDelReg, HKU.FirstLogonOnceDelReg


;New User first logon add tweak
[NewUserFirstLogonInstall]
AddReg     = HKCU.NewUserAlwasAddReg
DelReg     = HKCU.NewUserAlwasDelReg


;Удаление ключей, использовавшихся для однократного запуска при первом логоне
[TECH.FirstLogonOnceDelReg]
HKU,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce","ZZZZ1_FirstLogonSetting"
HKU,".DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce","ZZZZ3_FirstLogonOOBE_FIX"


;******************************************************************
;
;  Эти ключи/значения вносятся в реестр при первом логоне
;
;******************************************************************

[HKCR.FirstLogonOnceAddReg]
;No keys

[HKLM.FirstLogonOnceAddReg]
;Отключить автоматические обновления системы
;HKLM,"SOFTWARE\Policies\Microsoft\Windows\WindowsUpdate\AU","NoAutoUpdate",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update","AUOptions",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update","AUState",0x00010001,7

; Отключить автоматическую перезагрузку в случае BSOD, иногда Sysprep перекрывает настройку)
HKLM,"SYSTEM\CurrentControlSet\Control\CrashControl","AutoReboot",0x10001,00,00,00,00
HKLM,"SYSTEM\CurrentControlSet\Control\CrashControl","CrashDumpEnabled",0x00010001,0
HKLM,"SYSTEM\CurrentControlSet\Control\CrashControl","LogEvent",0x00010001,1
HKLM,"SYSTEM\CurrentControlSet\Control\CrashControl","Overwrite",0x00010001,1
HKLM,"SYSTEM\CurrentControlSet\Control\CrashControl","SendAlert",0x00010001,0

[HKCU.FirstLogonOnceAddReg]
;No keys


[HKU.FirstLogonOnceAddReg]
;No keys


;******************************************************************
;
;  Эти ключи/значения удаляются из реестра при первом логоне
;
;******************************************************************

[HKCR.FirstLogonOnceDelReg]
;No keys


[HKLM.FirstLogonOnceDelReg]
;No keys


[HKCU.FirstLogonOnceDelReg]
;No keys


[HKU.FirstLogonOnceDelReg]
;No keys


;***********************************************************************************************
;
;  Эти ключи/значения вносятся в реестр при первом логоне для каждого вновь созданного юзера
;  В том числе, и для созданного в процессе установки системы 
;
;***********************************************************************************************

[HKCU.NewUserAlwasAddReg]
;No keys


;***********************************************************************************************
;
;  Эти ключи/значения удалятся из реестр при первом логоне для каждого вновь созданного юзера
;  В том числе, и для созданного в процессе установки системы 
;
;***********************************************************************************************

[HKCU.NewUserAlwasDelReg]
;No keys


;********************************************************************************
;
;  Эти ключи/значения вносятся в реестр при установке системы на этапе T13
;
;********************************************************************************
[HKCR.AddReg]
;Позволить переименовывать Корзину
HKCR,"CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder","Attributes",0x00000001,50,01,00,20
HKCR,"CLSID\{645FF040-5081-101B-9F08-00AA002F954E}\ShellFolder","CallForAttributes",0x00010001,0

;Добавление редактора реестра в меню Мой компьютер
HKCR,"CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\regedit",,,"Редактор реестра"
HKCR,"CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\regedit\command",,,"Regedit.exe"

;Добавление register / unregister в контекстное меню для  .dll файлов
HKCR,".dll","Content Type",,"application/x-msdownload"
HKCR,".dll",,,"dllfile"
HKCR,"dllfile",,,"Application Extension"
HKCR,"dllfile\Shell\Register\command",,,"regsvr32.exe ""%1"""
HKCR,"dllfile\Shell\UnRegister\command",,,"regsvr32.exe /u ""%1"""

;Добавление register / unregister в контекстное меню для .ocx файлов
HKCR,".ocx",,,"ocxfile"
HKCR,"ocxfile",,,"OCX"
HKCR,"ocxfile\Shell\Register\command",,,"regsvr32.exe ""%1"""
HKCR,"ocxfile\Shell\UnRegister\command",,,"regsvr32.exe /u ""%1"""

[HKLM.AddReg]
;Сервера обновлений времени
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers",,,"0"
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers","1",,"time.windows.com"
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers","2",,"time.nist.gov"
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\DateTime\Servers","0",,"ntp.colocall.net"

;Корзина использует 3% от доступного места на диске (не 10%)
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\BitBucket","Percent",0x10001,03,00,00,00

;Отключить поиск драйверов в сети Интернет при подключении нового устройства
HKLM,"SOFTWARE\Policies\Microsoft\Windows\DriverSearching","DontSearchWindowsUpdate",0x00010001,1
HKLM,"SOFTWARE\Policies\Microsoft\Windows\DriverSearching","DontPromptForWindowsUpdate",0x00010001,1

;Отключить поиск в сети Интернет при открытии файла с неизвестными расширением
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system","NoInternetOpenWith",0x00010001,1

; Не посылать отчет о крахе в Microsoft
HKLM,"SOFTWARE\Microsoft\PCHealth\ErrorReporting","DoReport",0x00010001,0
; Не посылать отчет о крахе в Microsoft (не показывать диалог)
HKLM,"SOFTWARE\Microsoft\PCHealth\ErrorReporting","ShowUI",0x00010001,0
; Не посылать отчет о крахе в Microsoft (включая ошибки ядра)
HKLM,"SOFTWARE\Microsoft\PCHealth\ErrorReporting","IncludeKernelFaults",0x00010001,0
; Не посылать отчет о крахе в Microsoft (включая ошибки приложений Microsoft)
HKLM,"SOFTWARE\Microsoft\PCHealth\ErrorReporting","IncludeMicrosoftApps",0x00010001,0
; Не посылать отчет о крахе в Microsoft (включая ошибки компонентов Windows)
HKLM,"SOFTWARE\Microsoft\PCHealth\ErrorReporting","IncludeWindowsApps",0x00010001,0

; Решение проблемы с открытием CHM с сетевых дисков после установки KB896358 
HKLM,"SOFTWARE\Microsoft\HTMLHelp\1.x\ItssRestrictions","MaxAllowedZone",0x00010001,1

; Избавляемся от кракозябликов в некотрых не-юникоде программах
HKLM,"SYSTEM\CurrentControlSet\Control\Nls\CodePage","1250",0x00000000,"c_1251.nls"
HKLM,"SYSTEM\CurrentControlSet\Control\Nls\CodePage","1251",0x00000000,"c_1251.nls"
HKLM,"SYSTEM\CurrentControlSet\Control\Nls\CodePage","1252",0x00000000,"c_1251.nls"

; Диспетчер устройств в меню 'Мой компьютер'
HKLM,"SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\_DevMgr",,0x00000000,"Диспетчер устройств"
HKLM,"SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\_DevMgr\command",,0x00020000,"%windir%\system32\mmc.exe /s %windir%\system32\devmgmt.msc"

; "Установка и удаление программ" в меню 'Мой компьютер'
HKLM,"SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\_appwiz",,0x00000000,"Установка и удаление программ"
HKLM,"SOFTWARE\Classes\CLSID\{20D04FE0-3AEA-1069-A2D8-08002B30309D}\shell\_appwiz\command",,0x00000000,"control appwiz.cpl"

;Отключение Prefetch ускоряет загрузку системы
HKLM,"SYSTEM\ControlSet001\Control\Session Manager\Memory Management\PrefetchParameters","EnablePrefetcher",0x10001,00,00,00,00

;Оптимизирует загрузку
HKLM,"SOFTWARE\Microsoft\Dfrg\BootOptimizeFunction","Enable",,"Y"

;отключение локальной и доменной политики брэндмауэра
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile","EnableFirewall",0x10001,00,00,00,00
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile","EnableFirewall",0x10001,00,00,00,00

; Отключение уведомлений Брандмауэра, обновления и антивируса
HKLM,"SOFTWARE\Microsoft\Security Center","FirstRunDisabled",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Security Center","FirewallDisableNotify",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Security Center","FirewallOverride",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Security Center","UpdatesDisableNotify",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Security Center","UpdatesOverride",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Security Center","AntiVirusDisableNotify",0x00010001,1
HKLM,"SOFTWARE\Microsoft\Security Center","AntiVirusOverride",0x00010001,1

;отключение службы "Брандмауэр Windows/Общий доступ к Интернету (ICS)"
HKLM,"SYSTEM\CurrentControlSet\Services\SharedAccess","Start",0x10001,04,00,00,00

;отключение службы "Центр обеспечения безопасности"
HKLM,"SYSTEM\CurrentControlSet\Services\wscsvc","Start",0x10001,04,00,00,00

;отключение службы "Автоматического обновления"
HKLM,"SYSTEM\CurrentControlSet\Services\wuauserv","Start",0x10001,04,00,00,00

;Отключить службу восстановление системы
HKLM,"SYSTEM\CurrentControlSet\Services\srservice","Start",0x10001,04,00,00,00

; Отключить службу восстановление системы
HKLM,"SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRestore","DisableSR",0x00010001,1

;Отключить службу Messenger (останавливает спам. не влияет на MSN or Windows Messenger)
HKLM,"SYSTEM\CurrentControlSet\Services\Messenger","Start",0x10001,04,00,00,00

;Отключить удаленный доступ к реестру
HKLM,"SYSTEM\CurrentControlSet\Services\RemoteRegistry","Start",0x10001,04,00,00,00

;Отключить службу поддержки смарт-карт Smart Card Helper
HKLM,"SYSTEM\CurrentControlSet\Services\SCardDrv"","Start",0x10001,04,00,00,00

;;Отключить службу серийных номеров переносных устройств мультимедиа
HKLM,"SYSTEM\CurrentControlSet\Services\WmdmPmSN"","Start",0x10001,04,00,00,00

[HKCU.AddReg]
; Скрыть общиe дoкyмeнты в oкне Moй кoмпьютep и проводнике
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoSharedDocuments",0x00010001,1

; Ускорение и оптимизация интерфейса
HKCU,"Control Panel\Desktop","AutoEndTasks",0x00000000,"1"
HKCU,"Control Panel\Desktop","MenuShowDelay",0x00000000,"200"
HKCU,"Control Panel\Desktop","PaintDesktopVersion",0x00010001,0
HKCU,"Control Panel\Desktop","WaitToKillAppTimeout",0x00000000,"10000"
HKCU,"Control Panel\Desktop","WaitToKillServiceTimeout",0x00000000,"5000"

; Cached "Folder View Settings" - To speed up browsing local folders
HKCU,"Software\Microsoft\Windows\Shell","BagMRU Size",0x00010001,250
HKCU,"Software\Microsoft\Windows\ShellNoRoam","BagMRU Size",0x00010001,250

; Убрать автоматический поиск сетевых папок и принтеров
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","NoNetCrawling",0x00010001,1

; Выводить полный путь в панели адреса и в панели заголовка
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState","FullPathAddress",0x00010001,1
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetState","FullPath",0x00010001,1

; Включить отображение всех расширений в Проводнике 
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","HideFileExt",0x00010001,0

; Отключить "Мастер очистки рабочего стола" (Desktop Cleanup Wizard) 
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Desktop\CleanupWiz","NoRun",0x00010001,1

; Расширенная настройка помошника поиска
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer","link",0x00000001,00,00,00,00
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer","SearchSystemDirs",0x00010001,1
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer","SearchHidden",0x00010001,1
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer","IncludeSubFolders",0x00010001,1
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer","CaseSensitive",0x00010001,0
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer","SearchSlowFiles",0x00010001,1
HKCU,"Software\Microsoft\Search Assistant","UseAdvancedSearchAlways",0x00010001,1

; Opens .NFO files with Notepad
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nfo","Application",0x00000000,"NOTEPAD.EXE"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nfo\OpenWithList","MRUList",0x00000000,"ba"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nfo\OpenWithList","a",0x00000000,"Explorer.exe"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.nfo\OpenWithList","b",0x00000000,"NOTEPAD.EXE"

; Показывать все иконки на рабочем столе при старом и новом виде меню
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel","{20D04FE0-3AEA-1069-A2D8-08002B30309D}",0x10001,0
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel","{450D8FBA-AD25-11D0-98A8-0800361B1103}",0x10001,0
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel","{208D2C60-3AEA-1069-A2D7-08002B30309D}",0x10001,0
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel","{871C5380-42A0-1069-A2EA-08002B30309D}",0x10001,0

HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartmenu","{20D04FE0-3AEA-1069-A2D8-08002B30309D}",0x10001,0
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartmenu","{450D8FBA-AD25-11D0-98A8-0800361B1103}",0x10001,0
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartmenu","{208D2C60-3AEA-1069-A2D7-08002B30309D}",0x10001,0
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartmenu","{871C5380-42A0-1069-A2EA-08002B30309D}",0x10001,0

HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","StartMenuInit",0x00010001,1
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Start_LargeMFUIcons",0x00010001,1
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Start_MinMFU",0x00010001,3
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Start_NotifyNewApps",0x00010001,0

; Не запрашивать пароль при выходе из ждущего режима
HKCU,"Control Panel\PowerCfg\GlobalPowerPolicy","Policies",0x00000001,\
  01,00,00,00,00,00,00,00,03,00,00,00,10,00,00,00,00,00,00,00,03,\
  00,00,00,10,00,00,00,02,00,00,00,03,00,00,00,00,00,00,00,02,00,00,00,03,00,\
  00,00,00,00,00,00,02,00,00,00,01,00,00,00,00,00,00,00,02,00,00,00,01,00,00,\
  00,00,00,00,00,01,00,00,00,03,00,00,00,02,00,00,00,04,00,00,c0,01,00,00,00,\
  04,00,00,00,01,00,00,00,0a,00,00,00,00,00,00,00,03,00,00,00,01,00,01,00,01,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,02,00,00,00,\
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,03,00,00,00,00,\
  00,12,00,00,00

;Отключить предупреждение при открытии файлов, загруженных из Интернета
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Associations","LowRiskFileTypes",,".zip;.rar;.nfo;.txt;.exe;.bat;.com;.cmd;.reg;.msi;.htm;.html;.gif;.bmp;.jpg;.avi;.mpg;.mpeg;.mov;.mp3;.m3u;.wav;"
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Attachments","SaveZoneInformation",0x10001,01,00,00,00

;Параметры подписывания драйверов: не запрашивать утверждения
HKCU,"Software\Microsoft\Driver Signing","Policy",0x10001,00,00,00,00
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced","Policy",0x10001,00,00,00,00

;Отключить проверку недостатка места на диске
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoLowDiskSpaceChecks",0x10001,01,00,00,00

;Отключить меню Недавние Документы в меню Пуск
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoRecentDocsMenu",1,01,00,00,00

;Отключить "Ярлык для" при создании новых ярлыков
HKCU,"Software\Microsoft\Windows\CurrentVersion\Explorer","link",1,00,00,00,00

;Убрать ярлык "Программы по умолчанию" из меню Пуск 
HKCU,"Software\Microsoft\Windows\CurrentVersion\Policies\Explorer","NoSMConfigurePrograms",0x10001,01,00,00,00

[HKU.AddReg]

;No keys

;********************************************************************************
;
;  Эти ключи/значения удаляются из реестра при установке системы на этапе T13
;
;********************************************************************************

[HKCR.DelReg]
;Ускоряет открытие AVI Media Files 
HKCR,"CLSID\{87D62D94-71B3-4b9a-9489-5FE6850DC73E}",

;Отключить предпросмотр фильмов в Проводнике (ускоряет работу и позволяет перемещать и удалять фай-лы)
HKCR,".avi\ShellEx",
HKCR,".mpg\ShellEx",
HKCR,".mpe\ShellEx",
HKCR,".mpeg\ShellEx",

;remove "WMP Play Folder As Playlist Launcher"
HKCR,"CLSID\{7D4734E6-047E-41e2-AEAA-E763B4739DC4}",
;remove "WMP Burn Audio CD Launcher"
HKCR,"CLSID\{8DD448E6-C188-4aed-AF92-44956194EB1F}",
;remove "WMP Play As Playlist Launcher"
HKCR,"CLSID\{CE3FB1D1-02AE-4a5f-A6E9-D9F1B4073E6C}",
;remove "WMP Add To Playlist Launcher"
HKCR,"CLSID\{F1B9284F-E9DC-4e68-9D7E-42362A59F0FD}",

[HKLM.DelReg]
;Отключить автоматические обновления системы
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update","DetectionStartTime",
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate\Auto Update","LastWaitTimeout",

; Remove "Alexa" spyware that is built in to Windows
HKLM,"SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a}",

; Удаление значков "Принтеры" и "Назначенные задания" из окна обзора локальных ресурсов с удаленного компьютера
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace"
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{D6277990-4C6A-11CF-8D87-00AA0060F5BF}",
HKLM,"SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\RemoteComputer\NameSpace\{2227A280-3AEA-1069-A2DE-08002B30309D}",

[HKCU.DelReg]
;Пусто

[HKU.DelReg]
;Пусто

Карантин выслал.
Спасибо.

[drongo]

а нажать в авз на кнопку-> обновить базы- это в правилах указано



обновления надо ставить, а то гуляние под админом с непатченной системой чревато. А троян активный есть: Packed.Win32.Klone.bj по касперскому.


пофиксить в hihackthis:

Код:

F2 - REG:system.ini: Shell=Explorer.exe csrcs.exe

не перегружаясь, выполнить скрипт в avz

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 
 DeleteFile('c:\windows.1\system32\csrcs.exe');
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Надо бы ещё avptool пройтись или/и cureit для надёжности.
а затем обновить базы авз и сделать новые логи.

[szef]

Прошу прощения за долгое отсутствие.
Пофиксил в HiJack, скрипт выполнил - троян остался (на флешку писал разные автораны и что-то исполняемое). Прошелся cureit. Он нашёл два трояна, один csrcs.exe, а другой где-то в дебрях эксплорера.
Базы обновил.
Новые логи сделал.
Спасибо.

[AndreyKa]

В логах нет ничего подозрительного.
Проблема решена?

[szef]

Да. Спасибо.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows.1\system32\csrcs.exe - Packed.Win32.Klone.bj ( DrWEB: Win32.HLLW.Siggen.73, BitDefender: Gen:Trojan.Heur.AutoIT.AmNfbeeDgllm, AVAST4: Win32:Crypt-FER [Trj] )