[решено] вирус system.exe у меня робит. помогите с решением

Pili · Отправлено: **13:47, 19-03-2009** | #21

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение

Код:

File::
c:\docume~1\Dodd\LOCALS~1\Temp\mc21.tmp

Driver::
mchInjDrv

Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0e3d2b74-aa06-11dc-b301-0016ec02916a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{264b97ba-4433-11dc-8f5d-0016ec02916a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{5ce5cc74-3e00-11dd-937b-0016ec02916a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92fb51dd-61a2-11dc-96e8-0016ec02916a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a16b0216-12e0-11de-9d5c-0016ec02916a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a75cf2d2-1dba-11dc-a2c0-0016ec02916a}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{e3410b0a-1824-11dd-9343-0016ec02916a}]
[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\mchInjDrv]

FileLook::
c:\windows\system32\ovfsthjogvwqvhtediypbdvjeholudupxdrpij.dat
c:\windows\system32\ovfsthikwqkpgqtbojxgilxknkcpgfhypuyekw.dat

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Сделайте новый лог Hijackthis.

dodd · Отправлено: **13:47, 19-03-2009** | #22

что предпринять дальше - жду вашего совета

dodd · Отправлено: **14:49, 19-03-2009** | #23

после проверки

dodd · Отправлено: **15:23, 19-03-2009** | #24

что предпринять дальше - жду вашего совета

Pili · Отправлено: **15:53, 19-03-2009** | #25

dodd, с момента последнего скрипта установили comodo?
c:\windows\system32\cssdll32.dll - проверьте на virustotal.com, результат проверки выложите или дайте на него ссылку

dodd · Отправлено: **15:59, 19-03-2009** | #26

да комодо поставил - посмотрел что за антивирь такой
сразу удалил перед комбофиксом
запршенная ссылка:
http://www.virustotal.com/ru/analisi...4e63dd4552b06b

Pili · Отправлено: **16:21, 19-03-2009** | #27

dodd, comodo это больше firewall, чем антивирус, неплохой кстати firewall. Если файл чист, то по логам чисто.
Рекомендую удалить Bonjour Service см. здесь или здесь
Проблемы ещё наблюдаются?

dodd · Отправлено: **16:26, 19-03-2009** | #28

проблема остается одна - в выборе антивируса - чтобы работал пока я работаю
сижу читаю что да как на этом сайте
вообшем однозначного ответа пока не нашел

спасибо огромное за помощь

Pili · Отправлено: **17:04, 19-03-2009** | #29

dodd, Пожалуйста. Из антивирусов советую KAV/KIS или DrWeb, из бесплатных - Avira.
У вас был пинч, поэтому меняйте абсолютно все пароли.
Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u
Скачайте OTCleanIt, запустите, нажмите CleanUp!
Adobe Acrobat обновите.

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Цитата:

8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Если что не нужно, скажите, можно будет отключить скриптом.
Советую отключить неиспользуемые службы, настроить безопасность.
По службам можно почитать здесь, дополнительно по безопасности Windows XP можно почитать здесь,

Для предотвращения заражения, рекомендую не работать за компьютером с правами администратора, не использовать Internet Explorer или отключить в нем ActiveX, использовать DropMyRights см. здесь и здесь или SanboxIE, пользоваться браузером Opera или Firefox c плагином NoScript и AdBlock Plus
Регулярно устанавливаете обновления - http://windowsupdate.microsoft.com и обновляйте антивирусные базы
По проблемам и вопросам, связанным с защитой ПК, советую посетить раздел Защита компьютерных систем
Дополнительно можете протестировать и настроить безопасность с помощью Belarc Advisor доп. см. здесь
И проверить программное обеспечения на безопасность и наличие обновлений с помощью Secunia Online Software Inspector (OSI)
Советую прочитать:
Безопасный Интернет. Универсальная защита для Windows ME - Vista,
Базовая концепция системы безопасности ОС Windows семейства NT
Вы можете оказать помощь в сборе и пополнении базы чистых файлов AVZ

dodd · Отправлено: **03:31, 20-03-2009** | #30

насчет сп3 - я его поставил - но ему ведь нужен лицензионный ключ при активации - естесственно у меня его нет и не было.
то есть получается через 30 дней как он говорит - все накроется медным тазом

комп мой личный - поэтому отключать службы я даже не знаю - нужно ли? если их не отключить - будет ли негатив из-за этого?
и насчет безопасности : административный доступ - скорее всего нужно оставить -а то как я буду работать.
если возможно отключить со скриптом: разрешение доступа анонимного пользователя и отправку приглашений удаленному помошнику - пожалуйста приложите скрипт.
насчет - неиспользуемых служб - ну здесь я как в темноте.
форум теперь буду еженедельно просматривать. научили граммоте.
кстати Avira вместе с файерволом комодо - хорошая получится защита?
могли бы вы подсказать где скачать avirа.