tomas0, C:\Program Files\Remote Office Manager - Server\HookDrv.dll - not-a-virus:RemoteAdmin.Win32.ROM.с по касперскому, можете деинсталлировать Remote Office Manager, можете оставить - на ваше усмотрение (для удал. адм-ия можете оставить Symantec PcAnywere)
ProxyServer = http=127.0.0.1:2080 - сами ставили? Если нет, пофиксите в HJT строчку
Код:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:2080
Проверьте файл C:\WINDOWS\system32\_psisdecd.dll на virustotal.com, если окажется чистый, то зловредов нет (T.sys удален, был неактивен).
Судя по появлению в HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 зловредов, работают с зараженными флешками
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Деинсталлируйте ComboFix: нажмите пуск – выполнить -
Combofix /u
Скачайте
OTCleanIt, запустите, нажмите
Clean up
Очистите предыдущие точки восстановления.
Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
|
Рекомендую настроить безопасность и отключить не используемые службы, если что не нужно - скажите, напишу скрипт.
quarantine.zip (пост 3) пришлите плиз.
