Непонятное поведение 3

Опять двадцать пять.
Симантек постоянно сканирует исходящую почту. Я соответственно ничего не отправляю. Dr. Web (Cure It) в безопасном режиме ничего не нашел. Логи приложил.

пофиксите
[code]
O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe
[/code]
віполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportAll;
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил повторите логи...

Скрипты выполнил. Карантин отправил.

давайте новые логи ...

Прикладываю.

в логах чисто ...
осталось разобраться с потенциальными уязвимостями ....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

что вам из этого нужно остальное поможем закрыть ...

Спасибо, ничего не надо править.
Подскажите как с этим бороться чтобы впредь не вылезало - юзеры через одного эту муру ловят. Антивир - Симантек 10.

запретите юзерам работать с правами администратора ....

Спасибо.
Вдогонку такая же проблема на другой машине. Веб в безопасном убил несколько вирусов. Отправка с компа продолжается. Логи приложил.

Полагается в отдельную тему, ну да ладно.

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('C:\WINDOWS\system32\regwiz.exe','');
QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
QuarantineFile('C:\WINDOWS\Temp\startdrv.exe','');
QuarantineFile('C:\DOCUME~1\BERNIK~1\LOCALS~1\Temp\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys','');
DeleteFile('C:\WINDOWS\System32\drivers\protect.sys');
DeleteFile('C:\DOCUME~1\BERNIK~1\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
BC_ImportALL;
BC_QrSvc('runtime');
BC_QrSvc('runtime2');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('FCI');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин и сделайте новые логи.

Выполнил скрипт. Проверку тоже. Логи и карантин прикладываю.

пофиксите ...
[code]
O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
[/code]
выполните скрипт .....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\cssrss.exe');
DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe');
BC_ImportDeletedList;
BC_DeleteSvc('FCI');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи..

Выполнил

в логах чисто ...

Большое спасибо.