проблема с виндовыми проводниками

**PRomanS** · 25.10.2007, 12:37

Обратил внимание на проблему после того как не смог запустить виндовый брэндмауэр, а после установки Outpost`а ни одна прога не могла выйти в интет, поличил систему DrWeb, Outpost заработал корректно, но виндовый брэндмауэр так и не запускается выдает ошибку: "Вследсвие неопределенной ошибки не удается отобразить параметры брэндмауэра Windows".
iexplorer грузит трафик(пришлось блокировать Outpost`ом), а explorer грузит прцессор процентов на 90 (cel. 1.1 Ghz)
Выкладываю две версии virusinfo_syscure, т.к. при первом запуске AVZ я забыл что интернет эксплорер должен быть запущен.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 25.10.2007, 13:12

1. Выполните скрипт в AVZ:

Код:

begin
 BC_QrSvc('runtime2');
 BC_QrSvc('msupdate');
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('msupdate');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

2. Выполните еще один скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\openfiles.dll','');
 QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll','');
 DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\arm32.dll');
 DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
DeleteFile('C:\Recycled\Dc119.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

3. Пришлите карантин согласно приложению 3 правил.

4. Сделайте новые логи.

**PRomanS** · 26.10.2007, 12:49

карантин отправил
свежие логи
и наблюдается еще одна проблемка: с зараженной машины не отправляются файлы на форум, приходится отправлять с другой машины.

**Bratez** · 26.10.2007, 12:59

1. Пофиксите в HijackThis:

Код:

O20 - Winlogon Notify: arm32reg - C:\WINDOWS\

2. Windows Messenger, если не ошибаюсь, у вас удален?
Тогда пофиксите еще и это:

Код:

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe (file missing)

3. Удалите файл C:\Program Files\DrWeb\alert\system32-.zip

4. Посмотрите, что вам нужно / не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

(лишнее отключим).

Больше ничего плохого в логах нет.

**PRomanS** · 29.10.2007, 09:54

Первые три пункта выполнил без проблем, а вот насчет четвертого теряюсь в догадках, возможно все из перечисленного не является обязательным, машина в сети завода выходит в инет через ADSL роутер, удаленное администрирование не выполняется.

**V_Bond** · 29.10.2007, 10:01

тогда ... скрипт ( но лучше уточнить у вашего админа ,что используется )

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('TermService', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

**PRomanS** · 29.10.2007, 10:24

да вобщем то я им и являюсь

**PRomanS** · 01.11.2007, 18:59

Всем спасибо !!!!
Совсем забыл, брэндмауэр винды так и не запускается.

**V_Bond** · 01.11.2007, 20:15

Не удается запустить службу брандмауэра Windows

**CyberHelper** · 22.02.2009, 02:43

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\openfiles.dll - Trojan.Win32.Agent.ckb (DrWEB: Trojan.Inject.483)

проблема с виндовыми проводниками (заявка № 13527)

Опции темы

проблема с виндовыми проводниками

Итог лечения

Похожие темы

Проблема

проблема, очень большая проблема

Проблема с траффиком + проблема с AVZ.

Проблема!!!

Проблема :(

Ваши права в разделе