serg4271, логи чистые. Проблемы ещё наблюдаются?

как я уже писал в предыдущем сообщении - выскочило окно-ошибка system32, сейчас только обратил внимание- время показывает 4:31, 01.01.2070 год. Что делать? Гнать всё по новой? Ужасно жалко, я уже вчера ночью акронисом образ сделал

Да уж, тяжелый случай :( Логи, как я понимаю, были сделаны до ошибки? Тогда думаю стоит их повторить. Для начала AVZ (с включенным AVZPM) и HiJack
Сдается мне авторы "проблемы 2070" свое детище развивают...

сделать всю процедуру по сей момент или пока только вчерашнюю?(да, ошибка выскочила, когда я закрыл последнюю программу проверки

поехало

Ужасно жалко, я уже вчера ночью акронисом образ сделал »
Вчера ночью кроме svhost (или остатков от него - мусора в реестре) у вас ничего зловредного в логах больше не было.
Логи утилит показывают верное время
OTListIt logfile created on: 04.03.2009 22:05:49 - Run 1
и
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 04.03.2009 21:58:02

время показывает 4:31, 01.01.2070 год »
И не меняется? Вы встроенный брандмауэр включали перед выполнением скрипта и созданием логов? В правилах написано - включите брандмауэр или отключите сеть. Если нет - возможно снова заразились. Была также рекомендация установить SP3 и все обновления, но вы это проигнорировали, боюсь что после нового лечения вы сразу снова заразитесь (патчи не установлены, у вас какая-то сборка)
Что делать? Гнать всё по новой? »
Если время снова сбивается после переустановки, проверимся другими методами. Скачайте cureit на чистой системе, распакуйте и запишите на флешку или CD. Поменяйте время в биосе, загрузитесь с загрузочного диска и запустите cureit (_start.exe), проведите полную проверку системы.
Отключите автозапуск со съемных носителей (http://forum.oszone.net/showpost.php?p=825101), включите брандмауэр windows и уберите в исключениях брандмауэра (http://www.microsoft.com/rus/windowsxp/sp2/sp2_wfexeptions.mspx) общий доступ к файлам и принтерам.

Скачайте SDFix (http://downloads.andymanchesta.com/RemovalTools/SDFix_ReadMe.htm) здесь (http://downloads.andymanchesta.com/RemovalTools/SDFix.exe) или здесь (http://www.downloads.andymanchesta.com/RemovalTools/SDFix.zip), загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь (http://www.saule-spb.ru/library/sdfix.html) и здесь (http://virusnet.info/forum/showthread.php?t=512)

Скачайте ComboFix здесь (http://subs.geekstogo.com/ComboFix.exe), здесь (http://download.bleepingcomputer.com/sUBs/ComboFix.exe) или здесь (http://www.forospyware.com/sUBs/ComboFix.exe) и сохраните на рабочий стол.
Обязательно закройте все программы, отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет, не переподключайте интернет пока Combofix не завершит работу.
Запустите combofix.exe, когда процесс завершится запакуйте C:\ComboFix.txt и прикрепите к сообщению.
Скачайте Gmer (http://www.gmer.net/gmer.zip), запустите программу. После автоматической экспресс-проверки, отметьте галочкой системный диск и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
Сделайте также новый лог hijackthis

ну обновления я ночью ставил, сервис пак 3 не успел, брандмауэр не включил, к сожалению. Сейчас систему так заколбасило, что я решил вернуть её акронисом в положение 1:40 сегодняшней ночи(после первых скриптов, когда всё нормализовалось). Может ещё раз первым способом попробовать?

Pili,

вообщем, пока восстановил ОС в рабочее состояние ставлю сервис пак 3 с обновлениями и вопрос: делать ли Вашу последнюю рекомендацию, если пока(!) ничего не наблюдается. Очень жду ответа хотя бы завтра, сегодня уже поздновато

Начните с AVZ (с включенным AVZPM) и HiJack. Это самое быстрое пока, пожалуй

thyrannosaurus,

счас всё опять проделал, проверил заодно VRTool- всё чисто, как у младенца, gmer -ом тоже на рудкиты проверил -ничего не вижу

сервис пак 3 не успел, брандмауэр не включил, к сожалению. »
В правилах написано , что перед созданием логов
Временно можете включить брандмауэр Windows или отключить компьютер от сети интернет, если не хотите оставить компьютер беззащитным от угроз из сети интернет. »
И пост 16, описано все поп порядку, после МВАМ рекомендовано установить все обновления и только потом делать логи
Не ответили на вопрос:
Цитата serg4271:
время показывает 4:31, 01.01.2070 год »
И не меняется? »
Делайте новые логи по правилам.

Pili,
сервис пак 3 установил, плюс все обновления, вечером прогоню всё ещё раз по порядку.(на данный момент ОС работает без сбоев). Извините за невнимательность

P.S. время показывает правильно

P.P.S. У меня был установлен интерфейс Виста, установка SP3 частично его нарушила, вернув "родные" XP файлы. Я могу безболезненно вернуть Виста интерфейс не нарушая безопасности ОС?

установка SP3 частично его нарушила, вернув "родные" XP файлы »
Правильно сделала )
Я могу безболезненно вернуть Виста интерфейс не нарушая безопасности ОС? »
Не рекомендую заменять оригинальные системные файлы.

Пожалуйста вот три первых лога, согласно правил

P.S. Посмотрел по логу hijackthis там опять C:\WINDOWS.0\system\svhost.exe, но вручную его не нашёл

Выполните скрипт, который вам дал Pili в посте №16

Посмотрел по логу hijackthis там опять C:\WINDOWS.0\system\svhost.exe »
так и должно быть, если вы восстановили систему на момент до скрипта из поста 16
Выполните в AVZ скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS.0\system\svhost.exe');
DeleteService('WindowsTelephony');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Сделайте для контроля новый лог hijackthis

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
>> Безопасность: разрешен автоматический вход в систему
Что из этого не нужно?
Рекомендую по минимуму отключить
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Цитата serg4271:Посмотрел по логу hijackthis там опять C:\WINDOWS.0\system\svhost.exe »

так и должно быть, если вы восстановили систему на момент до скрипта из поста 16 »

O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS.0\system\svhost.exe (file missing)
Потому serg4271 его и не нашел

сделал, вроде чисто

службы сейчас отключу

O23 - Service: Windows Telephony (WindowsTelephony) - Unknown owner - C:\WINDOWS.0\system\svhost.exe (file missing)
Потому serg4271 его и не нашел »
Ну и что, служба вредоносная осталась, кроме того иногда запись (file missing) не говорит о том, что файла нет, напр. в случаях, когда hijack не может увидеть файл в связи с тем что зловред (руткит) блокирует доступ, пользователь через юзермоде также не увидит этот файл, здесь правда другой случай, по логам руткита не видно, просто остался мусор в реестре.

serg4271, По логам чисто.
Что насчет служб и безопасности?

службы отключил, а где эти три пункта по Безопасности(как-то никогда не вникал) ??
точнее 1 и 2-й пункт
Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя


этот пункт нашёл:к ПК разрешен доступ анонимного пользователя- а если у меня торрент и DC-сеть, расшаривать и т .д.???

Pili

Ладно, с этими пунктами как- нибудь разрулю. Всё работает отлично. СПАСИБО. Тему закрывать или вы сами закроете?