Cомнения по поводу чистоты системы

Pili · Отправлено: **16:29, 27-03-2008** | #2

zeroua, сделайте доп. логи согласно п. 3.6 правил и согласно п. 4.2 откройте новую тему и разместите логи в первом сообщении (чтобы не путались с логами автора темы). Найдите и проверьте на virustotal.com файл
ddsxei.sys C:\Program Files\sXe Injected\ddsxei.sys
пофиксите

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
O2 - BHO: (no name) - {055FD26D-3A88-4e15-963D-DC8493744B1D} - (no file)

если сами не делали, можете пофиксить (если что, вернуть потом можно)

Код:

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\RunOnce: [IE7_012] rundll32 advpack.dll,LaunchINFSectionEx IE7int.inf,AfterUserStart,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ1_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,OnceFirstLogonInstall,0 (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'Default user')

и ещё
Запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы, выставите степень опасности "Все проблемы", исправьте найденные проблемы. То же самое можно выполнить в категории проблемы "Настройки и твики браузера".

Цитата:

>> Services: potentially dangerous service allowed: RemoteRegistry (Удаленный реестр)
>> Services: potentially dangerous service allowed: TermService (Службы терминалов)
>> Services: potentially dangerous service allowed: SSDPSRV (Служба обнаружения SSDP)
>> Services: potentially dangerous service allowed: Schedule (Планировщик заданий)
>> Services: potentially dangerous service allowed: mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Services: potentially dangerous service allowed: RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Security: disk drives' autorun is enabled
>> Security: administrative shares (C$, D$ ...) are enabled
>> Security: anonymous user access is enabled
>> Security: sending Remote Assistant queries is enabled
>> Security: automatic logon is enabled

Рекомендую отключить лишнее, что из этого не нужно?
Чем вызваны сомнения в чистоте системы?

zeroua · Конфигурация компьютера

Цитата Pili:

zeroua, сделайте доп. логи согласно п. 3.6 »

, добавил в шапку логи

Нашел вот такую вот беду

Файл hosts получен 2008.03.27 22:20:03 (CET)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО
Результат: 3/32 (9.38%)

F-Secure 6.70.13260.0 2008.03.27 Trojan.Win32.Qhost.ajh
Ikarus T3.1.1.20 2008.03.27 Trojan.Win32.Qhost.ajh
Kaspersky 7.0.0.125 2008.03.27 Trojan.Win32.Qhost.ajh

Пользуюсь NOD32 3.0.636.0 Rus (2979)

Pili · Отправлено: **11:31, 28-03-2008** | #4

логи чистые. Если не очень нужно, можете удалить скриптом ddsxei.sys (или предварительно отослать на newvirus@kaspersky.com - ответ скорее всего будет "вредоносный код не обнаружен")

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 StopService('ddsxeiservice');
 SetServiceStart('ddsxeiservice', 4);
 QuarantineFile('C:\Program Files\sXe Injected\ddsxei.sys','');
 DeleteService('ddsxeiservice');
 DeleteFile('C:\Program Files\sXe Injected\ddsxei.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Файл hosts очень большой (скорее всего результат работы от spybot S&D), интернет может тормозить
можно почистить скриптом

Код:

begin
 ClearHostsFile;
end.

в новом логе HJT осталось

Код:

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE')

если сами не делали, можно пофиксить