Avast ругается на большое кол-во исходящих сообщений..
заранее благодарен,
дима
Printable View
Avast ругается на большое кол-во исходящих сообщений..
заранее благодарен,
дима
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\7z.exe,
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\smsdbrdb.dll','');
QuarantineFile('C:\WINDOWS\system32\7z.exe','');
QuarantineFile('C:\WINDOWS\system32\vdo_6b24-7787.sys','');
QuarantineFile('C:\WINDOWS\system32\poof','');
QuarantineFile('C:\WINDOWS\system32\kprof','');
QuarantineFile('C:\fwdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\_svchost.exe','');
QuarantineFile('C:\DOCUME~1\dimaf\LOCALS~1\Temp\winlogon.exe','');
DeleteFile('C:\DOCUME~1\dimaf\LOCALS~1\Temp\winlogon.exe');
DeleteFile('C:\WINDOWS\system32\_svchost.exe');
DeleteFile('C:\fwdrv.sys');
DeleteFile('C:\WINDOWS\system32\kprof');
DeleteFile('C:\WINDOWS\system32\poof');
DeleteFile('C:\WINDOWS\system32\vdo_6b24-7787.sys');
DeleteFile('C:\WINDOWS\system32\7z.exe');
BC_ImportALL;
BC_QrSvc('asc3550u');
BC_QrSvc('FCI');
BC_DeleteSvc('asc3550u');
BC_DeleteSvc('FCI');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_DeleteSvc('vdo_6b24-7787');
BC_DeleteSvc('Microsoft Internet Explorer');
BC_DeleteSvc('fwdrv.sys');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16937[/url]).
Сделайте новые логи.
все сделал
[b]Trojan-Proxy.Win32.Agent.xl[/b] C:\DOCUME~1\dimaf\LOCALS~1\Temp\winlogon.exe
C:\WINDOWS\system32\smsdbrdb.dll в карантин не попал, поищите через AVZ и пришлите
PS: Восстановление системы еще в самом начале нужно было отключить
[quote=rubin;177863][B]Trojan-Proxy.Win32.Agent.xl[/B] C:\DOCUME~1\dimaf\LOCALS~1\Temp\winlogon.exe
C:\WINDOWS\system32\smsdbrdb.dll в карантин не попал, поищите через AVZ и пришлите
PS: Восстановление системы еще в самом начале нужно было отключить[/quote]
протупил..
smsdbrdb.dll - не находится
пофиксите ...
[code]
O20 - AppInit_DLLs: C:\WINDOWS\system32\smsdbrdb.dll
[/code]
повторите лог ... hijackthis
пофиксил..
Восстановление системы отключили?
В логах заразы не видно.
Это Вы делали
[quote]>> Заблокированы настройки системы System Restore[/quote]
Если нет, тогда в АВЗ Файл--Мастер поиска и устранения проблем решите эту проблему.
Из этого списка что-либо используется
[quote]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя[/quote]
нет, кажется из списка ничего не используется
спам уже не рассылается, вроде все ок..
кажется или не используется ?
локальная сеть есть ?
нет
2 компа, один на прямую с инетом, второй через Wi-Fi, сеть между ними не делал, но возможно сделаю..
выполните скрипт ...
[code]
begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
выполнил,
еще что-то нужно?
Нет, если проблем не наблюдаются, то больше ничего не нужно.
не наблюдается..
большое спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\docume~1\\dimaf\\locals~1\\temp\\winlogon.exe - [B]Trojan-Proxy.Win32.Agent.xl[/B] (DrWEB: Trojan.Packed.147)[/LIST][/LIST]