При загрузке windows XP отключается БРАНДМАУЭР

[forser]

Здравствуйте!
При загрузке системы windows XP (в момент, когда появился рабочий стол и грузятся иконки в трее) на 30-40 секунд отключается брандмауэр windows, в трее выскакивает сообщение "Безопасность компьютера под угрозой, брандмауэр отключен". Далее, по истечение указанного времени сообщение пропадает, появляется значек локальной сети и ноутбук (dell inspiron 6400) работает в обычном режиме.
Подозреваю, что какая то "дрянь" запускает "левый" процесс. Пользуюсь Avast.

[Шапельский Александр]

Здравствуйте!
Выполните скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\searchfilterhost.exe','');
 DelCLSID('4A7C84E2-E95C-43C6-8DD3-03ABCD0EB60E');
 QuarantineFile('C:\Program Files\Smart-Shopper\Bin\2.6.42\Smrt-Shpr.dll','');
 DeleteFile('C:\Program Files\Smart-Shopper\Bin\2.6.42\Smrt-Shpr.dll');
 RegKeyParamWrite('HKLM','System\ControlSet001\Services\SharedAccess','Start','reg_dword','2');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению

[forser]

Все сделал, как Вы сказали. Проблема осталась пока в том же виде.

[Шапельский Александр]

Отключите восстановление системы, выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
Executerepair(6);
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
 RegKeyParamWrite('HKLM','System\ControlSet001\Services\SharedAccess','Start','reg_dword','2');
RebootWindows(true);
end.

Сделайте лог MBAM.

[forser]

Сделал полное сканирование

[Шапельский Александр]

Удалите в MBAM

Заражено ключей реестра:
HKEY_CLASSES_ROOT\smart-shopper.hbax (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.hbax.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.hbinfoband (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.hbinfoband.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.iebutton (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.iebutton.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.iebuttona (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.iebuttona.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.iebuttonb (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.iebuttonb.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.smrt-shprctrl (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\smart-shopper.smrt-shprctrl.1 (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchho ok (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{4509d3cc-b642-4745-b030-645b79522c6d} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{4897bba6-48d9-468c-8efa-846275d7701b} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{ca3eb689-8f09-4026-aa10-b9534c691ce0} (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchho ok.1 (Adware.Ecobar) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{90f62ef7-58d1-4e8e-bb3e-cfb10ba9e47b} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{b2b92bc9-e149-4ee8-a93e-0b8cfb329808} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{e79b1445-dfea-4bef-a786-e0c0f33c863b} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4cf088bd-be95-40a5-be9b-677f8683edea} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{6fac4823-815e-4361-836e-46d65ed2550b} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{911f251e-34fd-465e-b6ce-df00ff49a6be} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{fe4f1649-8909-49c0-87ba-24d65120db46} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{022c671f-6cba-4a03-a8f9-3b3a361b235a} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{305c6cb1-9d31-4489-881d-5a8e2dc3fe14} (Adware.SmartShopper) -> No action taken.
HKEY_CLASSES_ROOT\Typelib\{8ad815fc-607b-419f-8b70-d345a507a54e} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Explorer Bars\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Stats\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{4a7c84e2-e95c-43c6-8dd3-03abcd0eb60e} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{8bcb5337-ec01-4e38-840c-a964f174255b} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\Curre ntVersion\Ext\Settings\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Extensions\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Uninstall\smart-shopper (Adware.SmartShopper) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Smart-Shopper (Adware.SmartShopper) -> No action taken.

Заражено значений реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bebf} (Adware.SmartShopper) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{3cc3d8fe-f0e0-4dd1-a69a-8c56bcc7bec0} (Adware.SmartShopper) -> No action taken.

Заражено параметров реестра:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражено папок:
C:\Documents and Settings\All Users\Главное меню\Программы\SmartShopper (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\Application Data (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\admin (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\cs (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\db (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\dwld (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\report (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\res1 (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\Smart-Shopper (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\report (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\Smart-Shopper (Adware.SmartShopper) -> No action taken.
C:\Program Files\Smart-Shopper (Adware.SmartShopper) -> No action taken.
C:\Program Files\Smart-Shopper\Bin (Adware.SmartShopper) -> No action taken.
C:\Program Files\Smart-Shopper\Bin\2.6.42 (Adware.SmartShopper) -> No action taken.

Заражено файлов:
C:\Program Files\WebMoney Advisor\tbhelper.dll (Adware.Ecobar) -> No action taken.
C:\Documents and Settings\admin\Мои документы\Дистрибутивы программ\_spbmobiledvd_v125\_spbmobiledvd_v125\spb mobile.dvd.keygen.tsrh.exe (Trojan.Downloader) -> No action taken.
C:\Documents and Settings\All Users\Главное меню\Программы\SmartShopper\SmartShopper - Comapre product prices.lnk (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\All Users\Главное меню\Программы\SmartShopper\SmartShopper - Compare travel rate.lnk (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\All Users\Главное меню\Программы\SmartShopper\SmartShopper Help.lnk (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\All Users\Главное меню\Программы\SmartShopper\Uninstall SmartShopper.lnk (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\Config.xml (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\db\Aliases.dbs (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\db\Sites.dbs (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\dwld\Phishinglist.xip (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\dwld\WhiteList.xip (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\report\aggr_storage.xml (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\report\send_storage.xml (Adware.SmartShopper) -> No action taken.
C:\Documents and Settings\admin\Application Data\Smart-Shopper\cs\res1\WhiteList.dbs (Adware.SmartShopper) -> No action taken.
C:\Program Files\Smart-Shopper\Uninst.exe (Adware.SmartShopper) -> No action taken.

Сделайте лог MBAM

[forser]

Все найденные зараженные объекты удалил (в карантин). К сожалению проблема осталась.

[Шапельский Александр]

Как вариант: находим "здоровую" машину с аналогичной системой. Экспортируем с нее ключик HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\SharedAccess Подходим к "больной", импортируем.

[forser]

В соседней комнате такой же почти комп лежит (жены). Щас попробую.

Добавлено через 45 минут

Экспортировал с него указанный ключ на флеш. Вставил флеш в проблемный комп. По файлу реестра правой кнопкой и за тем слияние. Ключ успешно добавлен. Я может чего не понял (в меню опции Импортировать небыло). Перезагрузился. Проблема осталась: в процессе загузки на 30-40 секунд выключается брандмауэр. Потом все в порядке вроде.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\program files\smart-shopper\bin\2.6.42\smrt-shpr.dll - not-a-virus:AdWare.Win32.Shopper.ba ( BitDefender: Gen:Adware.Heur.iv9@RycIDani )