a-lian, комп рабочий или домашний?
Если домашний
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

Какие то проблемы с компом ещё наблюдаются?

Pili,
домашний, так что, наверное, можно удалять. Это ведь все никак не связано с искалеченной виндой?
Какие то проблемы с компом ещё наблюдаются? »
вроде бы нет, остальные все "железные" - с перегревом и камерой, но это, кажется, в другие разделы.
Спасибо вам еще раз.

Пожалуйста )
Нет, это не связано с искалеченностью винды, теперь она у вас вовсе не искалеченная, а вылеченная. Это связано с улучшением безопасности винды :)
На будущее, чтобы уменьшить риск заражения, советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.newmail.ru/)

о, здОрово! почитаю обязательно, давно искала что-то подобное.
не, искалеченная в том плане, что сдохнуть она должна была месяца 4 назад, живет же на каких-то подпорках, уж не знаю на каких
кхм, только гугл продолжает выдавать сообщения в духе "компьютерный вирус или шпионское по посылает нам автоматические заявки..." =)

a-lian, выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\epm-po.dll','');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Карантин выложите на файлообменник (ifolder.ru например и не забудьте дать ссылку, в ПМ или сюда, 1-ое лучше)
Повторите логи.

Pili,
карантин отправила на ПМ
cureit сегодня не смогу сделать
остальное выкладываю

a-lian, такое впечатление, что или логи старые или не выполнились скрипты из поста 19 или что-то успело после скрипта в файл Hosts записать
В AVZ - файл - выполнить скрипт
begin
ClearHostsFile;
end.
Или другой способ в AVZ- файл-восстанволение системы - п.13, после этих действий проверьте файл WINDOWS\system32\drivers\etc\hosts
в нем должно быть только 127.0.0.1 localhost
И ничего больше

Пофиксить в HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

Майл ру агент рекомендую удалить. И также осталось
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

т.е. этот скрипт не был выполнен
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

Pili,
Нет, логи все-таки сегодняшние, а это просто я нехороший человек - посмотрела, что все потенциально опасные службы запускаются вручную, а не автоматически, на том и успокоилась. Сейчас уже исправила. Если честно, делала не через скрипт, а через Администрирование-> Службы

В папке etc есть файлы hosts, lmhosts.sam, networks, protocol, services.

В HJT, каюсь, профиксила только что.

- автозапуск программ с CDROM - пока оставила
- административный доступ к локальным дискам (C$, D$ ...) - тоже пусть пока живет
- к ПК разрешен доступ анонимного пользователя - я не знаю, как должен выглядить скрипт, чтобы выполнить только это

Агент удалила, FlashGet тоже

Два вопроса - не могу ли я все же вернуть в качестве домашней страницы mail, а не mcn.com? =)
и второй - нормально ли, что теперь при загрузке рабочего стола на какое-то мгновение появляется черный экранчик, как при выполнении cmd?

В файле hosts должна быть запись только
127.0.0.1 localhost
и ничего больше
через Администрирование-> Службы - тоже можно службы настраивать.
не могу ли я все же вернуть в качестве домашней страницы mail, а не mcn.com? =) »
можете, в настройках IE поставить домашнюю страницу, просто HJ ставить на msn :)
гугл больше не ругается? )
Логи HJ и 2-й скрипт AVZ (если не трудно) повторите плиз

- к ПК разрешен доступ анонимного пользователя - я не знаю, как должен выглядить скрипт, чтобы выполнить только это »
это
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); »

В файле hosts должна быть запись только
127.0.0.1 localhost
и ничего больше »
видимо, я неправильно вас поняла, мда. У меня это выглядит так (из блокнота, не знаю, чем его еще открыть):
#maincnt {width:750px; margin-left:auto;margin-right:auto;}
127.0.0.1 localhost

гугл молчит, нортон достойно отражает worms =)

Хм, Планировщик заданий пока живет в ручном режиме, что-то я не могу понять, нужен он или нет, анонимный пользователь тоже пока с нами.

Я правильно понимаю, что в скрипте должны быть begin и end ?)
Ой, да, главный глупый вопрос - что сделать с карантином? то, что советуют на вирус.инфо? *мамочки*

И все ж - на окно cmd не обращать внимания? (простите мою навязчивость)

анонимный пользователь тоже пока с нами.
Я правильно понимаю, что в скрипте должны быть begin и end ?) »
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.
если в hosts только 127.0.0.1 localhost, то всё в порядке (то что в строчках после # - комментарии)
В логах ничего зловредного не наблюдается. На окно cmd можно не обращать внимания, возможно стартует что-то типа Skype или утилиты/драйвера от Acer

Pili, В логах ничего зловредного не наблюдается. На окно cmd можно не обращать внимания, возможно стартует что-то типа Skype или утилиты/драйвера от Acer »
ладно, пусть его, а то у меня уже паранойя=)
Еще раз нечеловеческое вам спасибо. За помощь и терпение.