Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Microsoft Windows 2000/XP (http://forum.oszone.net/forumdisplay.php?f=6)
-   -   Два центра безопасности (http://forum.oszone.net/showthread.php?t=110026)

levantin 26-06-2008 20:17 835798
Два центра безопасности
 
У меня на одном компе недавно появился Windows Security Center. Находится в
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install Advanced XP Defender
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install Advanced XP Fixer
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install SystemDefender
Причем родной Центр обеспечения безопасности я давно отключил сразу после установки ОС (ХР HE SP2 rus), а этот не могу.
Выдает постоянно окна с инфой на инглише, мешает работать.
Помогите кто может.

Blast 26-06-2008 20:23 835807
прикольно.. а в службах что, есть такие?

Котяра 26-06-2008 20:24 835809
Цитата:
Цитата levantin
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install Advanced XP Defender
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install Advanced XP Fixer
C:\WINDOWS\system32\rundll32.exe iSecurity.cpl,Install SystemDefender »
Откуда это? Из автозапуска? Так отключаем тогда.
А вообще это вирус.

Blast 26-06-2008 20:28 835817
Цитата:
Цитата Котяра
А вообще это вирус »
а вообще - да :)

Пошаговая инструкция по его устранению: How to remove the iSecurity (iSecurity.cpl) Trojan

и проверьтесь потом по этим правилам

levantin 26-06-2008 20:34 835820
Я тоже думаю, что вирус, спасибо, попробую разобраться со ссылкой

Blast 26-06-2008 20:50 835830
Цитата:
Цитата levantin
попробую разобраться со ссылкой »
да там ничего сложного, но лучше логи сделайте по второй ссылке

а по первой все банально:

грузимся в безопасный режим и удаляем все перечисленные ниже файлы
c:\term.bat
c:\WINDOWS\Resources\SetupDrive.dll
c:\WINDOWS\system32\iSecurity.cpl
c:\WINDOWS\system32\566828
c:\WINDOWS\system32\566828\566828.dll
c:\Program Files\IE Extensions
c:\Program Files\IE Extensions\cj.v4.dll
c:\Program Files\iSecurity
c:\Program Files\iSecurity\axpdefender.bmp
c:\Program Files\iSecurity\axpdefender.ico
c:\Program Files\iSecurity\axpdefenderi.bmp
c:\Program Files\iSecurity\axpfixer.bmp
c:\Program Files\iSecurity\axpfixer.ico
c:\Program Files\iSecurity\axpfixeri.bmp
c:\Program Files\iSecurity\iSecurity.dat
c:\Program Files\iSecurity\ucleaner.bmp
c:\Program Files\iSecurity\ucleaner.ico
c:\Program Files\iSecurity\ucleaneri.bmp
c:\Program Files\iSecurity\udefender.bmp
c:\Program Files\iSecurity\udefender.ico
c:\Program Files\iSecurity\udefenderi.bmp
c:\Program Files\iSecurity\winifixer.bmp
c:\Program Files\iSecurity\winifixer.ico
c:\Program Files\iSecurity\winifixeri.bmp
c:\Program Files\iSecurity\{32FF2108-1EF0-4ae8-8C23-17C92EAA5DEF}
c:\Program Files\iSecurity\{AE997BF5-8AF9-43c3-946B-2C29553E5141}
c:\Program Files\iSecurity\{A39F804A-4A63-4ff2-B201-23B0E2CC8474}
c:\Program Files\iSecurity\{A39F804A-4A63-4ff2-B201-23B0E2CC8474}\install.exe
c:\Program Files\iSecurity\v7
c:\Program Files\iSecurity\v7\iSecurity.cpl
%UserProfile%\Desktop\Advanced XP Defender.lnk
%UserProfile%\Desktop\Advanced XP Fixer.lnk
%UserProfile%\Desktop\Ultimate Cleaner.lnk
%UserProfile%\Desktop\Ultimate Defender.lnk
%UserProfile%\Desktop\WinIFixer.lnk
%UserProfile%\Local Settings\Temp\tmp21924840.exe
%UserProfile%\Local Settings\Temp\tmp21925151.dll

потом удаляем его следы из реестра
в первой строке удалить подраздел CJ.cjmgr из раздела HKEY_CLASSES_ROOT
в остальных идентично первой

HKEY_CLASSES_ROOT\CJ.cjmgr
HKEY_CLASSES_ROOT\CLSID\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}
HKEY_CLASSES_ROOT\CLSID\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}
HKEY_CLASSES_ROOT\CLSID\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}
HKEY_CLASSES_ROOT\e405.e405mgr
HKEY_CLASSES_ROOT\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}
HKEY_CLASSES_ROOT\iSecurity.mgr
HKEY_CLASSES_ROOT\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}
HKEY_LOCAL_MACHINE\SOFTWARE\iSecurity
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}

а в этих строках удалять не подразделы, а параметры, например в первой строке нужно удалить параметр iSecurity applet из раздела HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
в остальных по аналогии

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run "iSecurity applet"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "iSecurity"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad "PreBootCheck"
HKEY_CURRENT_USER\Software\Google\Google Toolbar\4.0\Options "Hidden"="1"
HKEY_CLASSES_ROOT\zip.plugin "UserId"="{20FE3538}"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"="iSecurity.cpl"

для удобства можете воспользоваться таким твиком реестра
Код:
Windows Registry Editor Version 5.00

[-HKEY_CLASSES_ROOT\CJ.cjmgr]

[-HKEY_CLASSES_ROOT\CLSID\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}]

[-HKEY_CLASSES_ROOT\CLSID\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}]

[-HKEY_CLASSES_ROOT\CLSID\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}]

[-HKEY_CLASSES_ROOT\e405.e405mgr]

[-HKEY_CLASSES_ROOT\Interface\{F7D09218-46D7-4D3D-9B7F-315204CD0836}]

[-HKEY_CLASSES_ROOT\iSecurity.mgr]

[-HKEY_CLASSES_ROOT\TypeLib\{E63648F7-3933-440E-B4F6-A8584DD7B7EB}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\iSecurity]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{220A105A-16EE-44C1-A4C8-AD76C709FC1D}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{A8311E8F-E459-4D22-89B4-CB9DCF10A425}]

[-HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{F10587E9-0E47-4CBE-84AE-7DD20B8684BB}]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iSecurity applet"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"iSecurity"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"PreBootCheck"=-

[HKEY_CURRENT_USER\Software\Google\Google Toolbar\4.0\Options]
"Hidden"="0"
в нем все кроме двух разделов реестра:
HKEY_CLASSES_ROOT\zip.plugin "UserId"="{20FE3538}" - не знаю что тут должно быть по умолчанию и должно ли быть вообще

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows "AppInit_DLLs"="iSecurity.cpl" - значение параметра AppInit_DLLs индивидуально и может содержать несколько файлов в зависимости от того какие приложения установлены, так что нужно просто вручную убрать оттуда iSecurity.cpl

В любом случае обязательно сделайте резервную копию реестра

levantin 01-07-2008 18:32 839541
спасибо полегчало

Blast 01-07-2008 21:43 839708
Заходите еще :)

а логи все равно лучше в соответствующий раздел дать, так спокойнее...

exo 01-07-2008 22:21 839756
на прошлой неделе столкнулся с подобным. Сначала не знал что делать, а потом каспером прошёлся (отключив этот "вирус") - он удалил. Обозначив его как "не-вирус, а рекламный-троян"


Время: 23:19.

Время: 23:19.
© OSzone.net 2001-