justy, Лог какой то бедный, в безопасного реж. запускали и IE не был запущенным во время формирования логов?
Выполните скрипт в AVZ (файл-выполнить скрипт)
Цитата:
begin
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\Documents and Settings\human\My Documents\distr\mobiledit\Download_MOBILeditinstaller.exe','');
QuarantineFile('UPS.sys','');
QuarantineFile('c:\program files\tools\slim ftp\slimftpd.exe','');
QuarantineFile('C:\WINDOWS\system32\hpBat.cpl','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\VComm.sys','');
QuarantineFile('C:\WINDOWS\system32\Drivers\TEUSBMU.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\nmserial.sys','');
BC_QrSvc('SlimFTPd');
BC_QrSvc('UPS');
BC_ImportAll;
BC_Activate;
end.
|
Полученный после скрипта карантин выложите пожалуйста на файлообменник (ifolder.ru например) для анализа.
Судя по
этой и
этой ссылкам slimftpd.exe нельзя считать безопасным, кроме того, рекомендуется установить
это обновление (из 1-ой ссылки). Рекомендую попробовать поработать без slimftpd (отключить в автозагрузке и как службу) или перейти на использование другого Ftp сервера.
Если не используете winpcap (C:\Program Files\WinPcap), его также лучше деинсталлировать.
Дополнительно, что из этого не нужно? (можно будет настроить скриптом)
Цитата:
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
|
Можно сделать более полный лог в
защищенном режиме:
Файл/Исследование системы - переключить "Только активные службы и драйверы" на "Все службы и драйверы" - Пуск/Сохранить протокол
