Службы

Blast · Конфигурация компьютера

прикольно.. а в службах что, есть такие?

Котяра · Конфигурация компьютера

Цитата levantin:

C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install Advanced XP Defender
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install Advanced XP Fixer
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install SystemDefender »

Откуда это? Из автозапуска? Так отключаем тогда.
А вообще это вирус.

Blast · Конфигурация компьютера

Цитата Котяра:

А вообще это вирус »

а вообще - да

Пошаговая инструкция по его устранению: How to remove the iSecurity (iSecurity.cpl) Trojan

и проверьтесь потом по этим правилам

levantin · Отправлено: **20:34, 26-06-2008** | #5

Я тоже думаю, что вирус, спасибо, попробую разобраться со ссылкой

Blast · Конфигурация компьютера

Цитата levantin:

попробую разобраться со ссылкой »

да там ничего сложного, но лучше логи сделайте по второй ссылке

а по первой все банально:

грузимся в безопасный режим и удаляем все перечисленные ниже файлы
c:\term.bat
c:\WINDOWS\Resources\SetupDrive.dll
c:\WINDOWS\system32\iSecurity.cpl
c:\WINDOWS\system32\566828
c:\WINDOWS\system32\566828\566828.dll
c:\Program Files\IE Extensions
c:\Program Files\IE Extensions\cj.v4.dll
c:\Program Files\iSecurity
c:\Program Files\iSecurity\axpdefender.bmp
c:\Program Files\iSecurity\axpdefender.ico
c:\Program Files\iSecurity\axpdefenderi.bmp
c:\Program Files\iSecurity\axpfixer.bmp
c:\Program Files\iSecurity\axpfixer.ico
c:\Program Files\iSecurity\axpfixeri.bmp
c:\Program Files\iSecurity\iSecurity.dat
c:\Program Files\iSecurity\ucleaner.bmp
c:\Program Files\iSecurity\ucleaner.ico
c:\Program Files\iSecurity\ucleaneri.bmp
c:\Program Files\iSecurity\udefender.bmp
c:\Program Files\iSecurity\udefender.ico
c:\Program Files\iSecurity\udefenderi.bmp
c:\Program Files\iSecurity\winifixer.bmp
c:\Program Files\iSecurity\winifixer.ico
c:\Program Files\iSecurity\winifixeri.bmp
c:\Program Files\iSecurity\{32FF2108-1EF0-4ae8-8C23-17C92EAA5DEF}
c:\Program Files\iSecurity\{AE997BF5-8AF9-43c3-946B-2C29553E5141}
c:\Program Files\iSecurity\{A39F804A-4A63-4ff2-B201-23B0E2CC8474}
c:\Program Files\iSecurity\{A39F804A-4A63-4ff2-B201-23B0E2CC8474}\install.exe
c:\Program Files\iSecurity\v7
c:\Program Files\iSecurity\v7\iSecurity.cpl
%UserProfile%\Desktop\Advanced XP Defender.lnk
%UserProfile%\Desktop\Advanced XP Fixer.lnk
%UserProfile%\Desktop\Ultimate Cleaner.lnk
%UserProfile%\Desktop\Ultimate Defender.lnk
%UserProfile%\Desktop\WinIFixer.lnk
%UserProfile%\Local Settings\Temp\tmp21924840.exe
%UserProfile%\Local Settings\Temp\tmp21925151.dll

потом удаляем его следы из реестра
в первой строке удалить подраздел CJ.cjmgr из раздела HKEY_CLASSES_ROOT
в остальных идентично первой

HKEY_CLASSES_ROOT\CJ.cjmgr
HKEY_CLASSES_ROOT\CLSID\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}
HKEY_CLASSES_ROOT\CLSID\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}
HKEY_CLASSES_ROOT\CLSID\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}
HKEY_CLASSES_ROOT\e405.e405mgr
HKEY_CLASSES_ROOT\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}
HKEY_CLASSES_ROOT\iSecurity.mgr
HKEY_CLASSES_ROOT\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}
HKEY_LOCAL_MACHINE\SOFTWARE\iSecurity
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}

а в этих строках удалять не подразделы, а параметры, например в первой строке нужно удалить параметр iSecurity applet из раздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
в остальных по аналогии

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "iSecurity applet"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "iSecurity"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "PreBootCheck"
HKEY_CURRENT_USER\Software\Google\Google Toolbar\4.0\Options "Hidden"="1"
HKEY_CLASSES_ROOT\zip.plugin "UserId"="{20FE3538}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"="iSecurity.cpl"

для удобства можете воспользоваться таким твиком реестра

Код:

Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CJ.cjmgr]

[-HKEY_CLASSES_ROOT\CLSID\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}]

[-HKEY_CLASSES_ROOT\CLSID\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}]

[-HKEY_CLASSES_ROOT\CLSID\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}]

[-HKEY_CLASSES_ROOT\e405.e405mgr]

[-HKEY_CLASSES_ROOT\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}]

[-HKEY_CLASSES_ROOT\iSecurity.mgr]

[-HKEY_CLASSES_ROOT\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\iSecurity]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iSecurity applet"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"iSecurity"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PreBootCheck"=-

[HKEY_CURRENT_USER\Software\Google\Google Toolbar\4.0\Options]
"Hidden"="0"

в нем все кроме двух разделов реестра:
HKEY_CLASSES_ROOT\zip.plugin "UserId"="{20FE3538}" - не знаю что тут должно быть по умолчанию и должно ли быть вообще

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"="iSecurity.cpl" - значение параметра AppInit_DLLs индивидуально и может содержать несколько файлов в зависимости от того какие приложения установлены, так что нужно просто вручную убрать оттуда iSecurity.cpl

В любом случае обязательно сделайте резервную копию реестра

levantin · Отправлено: **18:32, 01-07-2008** | #7

спасибо полегчало

Blast · Конфигурация компьютера

Заходите еще

а логи все равно лучше в соответствующий раздел дать, так спокойнее...

exo · Конфигурация компьютера

на прошлой неделе столкнулся с подобным. Сначала не знал что делать, а потом каспером прошёлся (отключив этот "вирус") - он удалил. Обозначив его как "не-вирус, а рекламный-троян"