[lokk555]

ЛОги

[thyrex]

Как это ни странно все звери остались на своих местах.
Добавлено по наводке iskander-k из-за моей забывчивости - Отключите восстановление системы

Попробуем так

Код:

begin
  SetAVZGuardStatus(True);
  SearchRootkit(true, true);
  QuarantineFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys','');
  TerminateProcessByName('c:\windows\system32\twext.exe');
  TerminateProcessByName('c:\windows\system32\twex.exe');
  TerminateProcessByName('c:\windows\system32\sdra64.exe');
  TerminateProcessByName('c:\users\123\appdata\local\temp\init.exe');
  QuarantineFile('C:\Windows\system32\mssrv32.exe','');
  QuarantineFile('C:\Windows\system32\svshost.dll','');
  QuarantineFile('C:\Users\123\AppData\Local\Temp\init.exe','');
  QuarantineFile('c:\windows\system32\twext.exe','');
  QuarantineFile('c:\windows\system32\twex.exe','');
  QuarantineFile('c:\windows\system32\sdra64.exe','');
  QuarantineFile('c:\users\123\appdata\local\temp\init.exe','');
  DeleteFile('c:\users\123\appdata\local\temp\init.exe');
  DeleteFile('c:\windows\system32\sdra64.exe');
  DeleteFile('c:\windows\system32\twex.exe');
  DeleteFile('c:\windows\system32\twext.exe');
  DeleteFile('C:\Users\123\AppData\Local\Temp\init.exe');
  DeleteFile('C:\Windows\system32\svshost.dll');
  DeleteFile('C:\Windows\system32\mssrv32.exe');
  DeleteService('gAGP440p'); 
  DeleteFile('C:\Users\123\AppData\Local\Temp\gAGP440p.sys');
  BC_ImportDeletedList;
  ExecuteSysClean;
  BC_Activate;
  RebootWindows(true);
end.

Пофиксите в HiJack

Код:

 F2 - REG:system.ini: UserInit=C:\Windows\system32\userinit.exe,C:\Users\123\AppData\Local\Temp\init.exe,C:\Windows\system32\sdra64.exe,C:\Windows\system32\twex.exe,C:\Windows\system32\twext.exe,

Логи повторите

[iskander-k]

Цитата thyrannosaurus:

Как это ни странно все звери остались на своих местах. »

thyrannosaurus, А система восстановления отключена у lokk555, ?
И необходимо провериться утилитой CureIt (согласно рекомендациям)

[thyrex]

iskander-k, спасибо за напоминание. Хотел же об этом написать. Сейчас добавлю

[lokk555]

Вышеприведенный скрипт выполнила, потом пофиксила, но там опять нет такой строчки F2 - REG: ......... Запустила утилиту Malwarebytes' Anti-Malware - нашлось 3 вируса. (восстановление системы отключено). CureIt запускала ранее, 4 дня назад - много чего нашлось. Сегодня обновила и запустила опять. Выкладываю новые логи.

[Pili]

lokk555, интернет помощник Mycentria деинсталлируйте.
Запустите AVZ, в меню AVZM выберите "Установить драйвер расширенного мониторинга процессов", далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус и другое защитное программное обеспечение, нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL','');
 DeleteFile('C:\PROGRA~1\MYCENT~1\InfoBar\MYCENT~1.DLL');
 DelBHO('{FFFC57DB-1DE3-4303-B24D-CEE6DCDD3D86}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделайте новые логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis

[lokk555]

При удалении Mycentria выскочило: возможно приложение уже удалено.
Новые логи.

[Pili]

lokk555, по логам ничего плохого.
Рекомендую удалить Bonjour Service см. здесь или здесь
Выгрузите драйвер расширенного мониторинга процессов AVZ: запустите AVZ, в меню - AVZM - удалить и выгрузить драйвер расширенного мониторинга процессов.
Проблемы ещё наблюдаются?

[lokk555]

Похоже, что уже нет проблем. Всем спасибо!

[Pili]

lokk555, пожалуйста.

Цитата:

8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-268) >> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100) >> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК >> Безопасность: Разрешена отправка приглашений удаленному помошнику

Рекомендую отключить неиспользуемые службы и настроить безопасность. Если что-то из вышеперечисленного захотите отключить, скажите, можно будет отключить скриптом.

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем

Советую прочитать
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ