недолеченный brontok

Здраствуйте!
Когда-то давно схватила E-mail вирус Brontok.A, вчера лечила, удаляла все что нашла AVZ.
Вот то, что осталось: смущают сообщения AVZ

Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
[B] Ошибка загрузки драйвера - проверка прервана [C000036B][/B]
1.4 Поиск маскировки процессов и драйверов
Проверка не производится, так как не установлен драйвер мониторинга AVZPM
1.5 Проверка обработчиков IRP
[B] Ошибка загрузки драйвера - проверка прервана [C000036B][/B]
2. Проверка памяти
Количество найденных процессов: 4
Анализатор - изучается процесс 1656 C:\Windows\kmsem\KMService.exe
[ES]:Может работать с сетью
[ES]:[B]Прослушивает порты TCP[/B] !
[ES]:Приложение не имеет видимых окон
[ES]:Размещается в системной папке


8. Поиск потенциальных уязвимостей
>> Службы: [B]разрешена потенциально опасная служба TermService[/B] (Службы удаленных рабочих столов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Обнаружение SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: [B]разрешен административный доступ к локальным дискам [/B](C$, D$ ...)
>> Безопасность: [B]Разрешена отправка приглашений удаленному помощнику[/B]

Так же во время простой проверки пишет:

Анализатор - изучается процесс 2980 C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
[ES]:Может работать с сетью
[ES]:[B]Прослушивает порты, применяемые протоколом HTTP[/B] !
[ES]:Записан в автозапуск !!
[ES]:[B]Загружает DLL RASAPI - возможно, может работать с дозвонкой[/B] ?

[COLOR="#FF8C00"]C\Users\1\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\393E.tmp MailBomb detected ![/COLOR]



Прошу, разъясните: опасно ли?

Уважаемый(ая) [B]freefallin[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы в самое ближайшее время ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[B][COLOR="#FF0000"]Внимание![/COLOR][/B] Рекомендации написаны специально для этого пользователя. Если рекомендации написаны не для вас, не используйте их - это может повредить вашей системе.

Если у вас похожая проблема - создайте тему в разделе [url=http://virusinfo.info/forumdisplay.php?f=46]Лечение компьютерных вирусов[/url] и выполните [url=http://virusinfo.info/content.php?r=136-pravila]Правила оформления запроса о помощи[/url].

Здравствуйте!

Закройте все программы, [URL="http://virusinfo.info/showthread.php?t=130828"][B]временно[/B] выгрузите антивирус, файрволл и прочее защитное ПО[/URL].

[B][COLOR="#000080"]Важно![/COLOR][/B] на Windows Vista/7/8 AVZ запускайте через контекстное меню проводника от имени Администратора. [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] (Файл - Выполнить скрипт):

[CODE]
begin
QuarantineFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','');
DeleteFile('C:\Users\1\AppData\Roaming\Microsoft\Windows\Templates\Brengkolang.com','32');
DeleteFile('C:\Windows\Tasks\At1.job','64');
DeleteFile('C:\Windows\system32\Tasks\At1','64');
ClearHostsFile;
ExecuteSysClean;
RebootWindows(true);
end.

[/CODE]

[B]Внимание![/B] Будет выполнена перезагрузка компьютера. После перезагрузки компьютера [URL="http://virusinfo.info/showthread.php?t=7239"]выполните скрипт[/URL] в АВЗ:

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите карантин согласно Приложения 2 правил по красной ссылке [B]Прислать запрошенный карантин[/B] вверху темы

[URL="http://virusinfo.info/showthread.php?t=165835"]Пофиксите[/URL] следующие строчки в HiJackThis (некоторые строки могут отсутствовать).

[CODE]
O1 - Hosts: <!DOCTYPE html><!--[if lt IE 7]> <html class="no-js lt-ie9 lt-ie8 lt-ie7"> <![endif]--><!--[if IE 7]> <html class="no-js lt-ie9 lt-ie8"> <![endif]--><!--[if IE 8]> <html class="no-js lt-ie9"> <![endif]--><!--[if gt IE 8]><!--> <html class="no-js no-ie"> <!--<![endif]--><head><meta charset="utf-8"><meta http-equiv="X-UA-Compatible" content="IE=edge,chrome=1"><meta name="viewport" content="width=device-width,user-scalable=no"><title>Geocities has shut down</title><meta name="description" content="Sorry, but Geocities has shut down."><meta property="og:title" content="Geocities has shut down" /><meta property="fb:app_id" content="105570222879341"/><meta property="og:type" content="website"/><meta property="og:image" content="https://s3.yimg.com/dh/ap/default/130909/y_200_a.png"/><meta property="og:site_name" content="Yahoo Small Business"/><meta property="og:url" content="https://smallbusiness.yahoo.com/geocities" /><link rel="canonical" href="https://smallbusiness.yahoo.com/geocities"/><!--[if lt IE
O1 - Hosts: {width : 100%; }


[/CODE]

Обновите базы AVZ!

Сделайте повторные логи по [url=http://virusinfo.info/pravila.html]правилам[/url] п.2 и 3 раздела Диагностика.([color=Blue]virusinfo_syscheck.zip;hijackthis.log[/color])

не вижу таких строк в HJT

[COLOR="silver"]- - - - -Добавлено - - - - -[/COLOR]

Карантин

Скачайте [url="http://data-cdn.mbamupdates.com/v0/program/data/mbam-setup-1.75.0.1300.exe"]Malwarebytes' Anti-Malware[/url], установите (во время установки откажитесь от использования [B]Пробной версии[/B]), обновите базы (во время обновления откажитесь от загрузки и установки новой версии), выберите "[b]Perform Full Scan[/b]" ("[B]Полное сканирование[/B]"), нажмите "[b]Scan[/b]" ("[B]Сканирование[/B]"), после сканирования - [b]Ok[/b] - [b]Show Results[/b] ("[B]Показать результаты[/B]") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
[B][COLOR="Red"]Самостоятельно ничего не удаляйте!!![/COLOR][/B]
Если лог не открылся, то найти его можно в следующей папке:
[CODE]%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs[/CODE] Файл требующегося лога имеет имя [U]mbam-log-[data] (time).txt[/U], например: [I]mbam-log-2013-11-09 (07-32-51).txt[/I]
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. [url=http://data.mbamupdates.com/tools/mbam-rules.exe]Загрузить обновление [B]MBAM[/B].[/URL]
Подробнее читайте в [URL="http://virusinfo.info/showthread.php?t=53070"]руководстве[/URL]

лог

[QUOTE]Версия базы данных: v2013.04.04.07
[/QUOTE]
Базы забыли обновить перед сканированием.

прошу прощения, вот обновила

Сделайте лог MBAM моей версией MBAM.

оки

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "[b]Remove Selected[/b]" ("[B]Удалить выделенные[/B]" - [B][COLOR="Red"]смотрите, что удаляете[/COLOR][/B]).

[CODE]
Обнаруженные файлы: 5
C:\Users\1\AppData\Local\Temp\ICReinstall_mp3DC220_inst.exe (PUP.Optional.InstallCore) -> Действие не было предпринято.
C:\Windows\pss\Empty.pif.Startup (Trojan.Dropper) -> Действие не было предпринято.
D:\RECYCLER\S-1-5-21-1292428093-1409082233-1417001333-500\Dd2.exe (PUP.SmsPay.Gen) -> Действие не было предпринято.
[/CODE]

спасибо, а C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) не надо удалять? почему?

[QUOTE]C:\Windows\kmsem\KMService.exe (Trojan.FakeAlert) не надо удалять? почему?[/QUOTE]
Потому что это кряк от офиса или Windows. Активация слетит.

вот авз пишет это не опасно?

C\Users\1\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\393E.tmp MailBomb detected !

разрешен административный доступ к локальным дискам (C$, D$ ...)
Разрешена отправка приглашений удаленному помощнику

[QUOTE]C\Users\1\AppData\Local\Google\Chrome\User Data\Default\Pepper Data\Shockwave Flash\393E.tmp [/QUOTE]
Это нет.

[QUOTE]разрешен административный доступ к локальным дискам (C$, D$ ...)
Разрешена отправка приглашений удаленному помощнику[/QUOTE]
Можно закрыть, отключив службу Сервер, второе отключается через настройки Windows.