Это сообщение выскакивает постоянно при работе с проводником или эксплорером. Выручайте...
Printable View
Это сообщение выскакивает постоянно при работе с проводником или эксплорером. Выручайте...
Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\fsmgmt.dll','');
QuarantineFile('C:\WINDOWS\pnk16.dll','');
DelBHO('{CF9146DB-16F1-4B79-8DA1-EE14C55D5B06}');
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DeleteFile('C:\WINDOWS\pnk16.dll');
BC_DeleteFile('C:\WINDOWS\pnk16.dll');
BC_ImportquarantineList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=22763[/url] , как написано в прил. 3 правил, и повторите логи, начиная с п. 10 правил.
Кажется помогло. Высылаю логи повторно.
В карантине:
C:\WINDOWS\system32\fsmgmt.dll - [b]Trojan-PSW.Win32.WOW.ast[/b]
C:\WINDOWS\pnk16.dll -[b]Trojan-Downloader.Win32.Peregar.es[/b]
(по классификации Касперского)
Соответственно, пофиксите с помощью hijackthis строчку: [code]O20 - Winlogon Notify: fsmgmt - C:\WINDOWS\SYSTEM32\fsmgmt.dll[/code]
Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fsmgmt.dll');
BC_DeleteFile('C:\WINDOWS\system32\fsmgmt.dll');
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, повторите логи, начиная с п. 10 правил.
Судя по имени, fsmgmt.dll - ворует пароли. Поэтому, рекомендуется поменять используемые на данной машине пароли. И еще вопрос к вам: диск d: на данной машине - это CD-привод, или нет?
Диск D: на этом компьютере - второй раздел HDD. Это не CD-привод
Строчку пофиксил. Высылаю логи
По логу AVZ, вроде, чисто. На всякий случай, добавьте, все-же, лог Hijackthis.
Жалобы остались? Обратите внимание вот на это: [code]8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
Проверка завершена[/code]
Проблема исчезла. Повторяю логи. Благодарю за поддержку.
В логах чисто...
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\pnk16.dll - [B]Trojan-Downloader.Win32.Peregar.es[/B] (DrWEB: Trojan.Fakealert.560)[*] c:\\windows\\system32\\fsmgmt.dll - [B]Trojan-GameThief.Win32.WOW.cqc[/B] (DrWEB: Trojan.PWS.Wow.732)[/LIST][/LIST]