razor938, В AVZ - просмотр карантина - уберите из карантина очень большие файлы. Ещё нужен лог virusinfo_syscure.zip (от стандартного 3-го скрипта AVZ)

Блиииииииииииииииииииииииииииииииин! Я состарюсь быстрее чем залью этот карантин!

Всё понял, щас попробую

razor938, avz_sysinfo.zip - это не тот лог, нужны virusinfo_syscure.zip, virusinfo_syscheck.zip

Всё. вот логи. Ссылку на карантин выложу чуть позже.

Всё не могу, иду спать :lazy: Ответы почитаю уже завтра :biggrin:

Выполните скрипт
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('RRMONX');
SetServiceStart('RRMONX', 4);
QuarantineFile('C:\WINDOWS\system32\logonui.exe','');
QuarantineFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\rrmon.sys','');
DeleteService('NetLogSrv');
DeleteService('PO system service');
BC_ImportALL;
BC_QrSvc('RRMONX');
BC_QrFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\rrmon.sys');
BC_DeleteFile('C:\DOCUME~1\9335~1\LOCALS~1\Temp\rrmon.sys');
BC_DeleteSvc('RRMONX');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выложить на ifolder.ru или slil.ru или другой файлообменник и дать ссылку на него в ПМ, с указанием ссылки на тему в сообщении.
Пофиксить в HJT
O20 - Winlogon Notify: winofa32 - C:\WINDOWS\


>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

что из этого не нужно? (автозапуск вообще со всех дисков можно запретить, оставить только с CD)
И ещё, рекомендую убрать все "украшательства" для WinXP, лишнее это :)
повторить логи virusinfo_syscheck.zip, hijackthis.zip

Насчет украшательств. Это может как - то навредить системе? Просто надоел скучный стандартный интерфейс :happy: Логи щас повторю. Кстати украшательства скачивал с вашего сайта :)

razor938, с "украшательствами" было бы всё в порядке, но uxtheme.dll внедряется в такое количество процеcсов, что возможны глюки (и comodo наверное это не нравится), поэтому и есть выбор - или красиво или стабильно :)

Так. Вот ссылка на карантин не выкладывайте карантин сюда!
А вот логи



Извините за оплошность, больше не буду

Глюков вроде нет, да и КОМОДО не ругается. Правда иногда не отображается языковая панель :) :sorry:

У меня деньги на мобиле уже заканчиваются, не знаю когда снова выйду в Инет. :sorry:
Постараюсь как можно быстрее!

В логах чисто. Файл logonui.exe чистый, rrmon.sys в карантин не захотел, вероятно его уже и нет. Можно пофиксить в HJT
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
В файл hosts вероятно внесены изменения Spybot S&D для защиты от вредоносных сайтов.
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Что из этого не нужно? (автозапуск вообще со всех дисков можно запретить, оставить только с CD)
Проблем не наблюдается? По яз. панели есть отдельная тема (http://forum.oszone.net/showthread.php?t=6943)

Проблема осталась. WINDOWS не отображается, в атрибутах папки не могу снять галку СКРЫТЫЙ(она все время затемнена). Та же ситуация с Program Files. В Моем Компьютере по прежнему не отображаются Общие Документы и Документы Администратор. Messenger я отключил. Что мне делать дальше? Ах да еще при попытке изменить экспортированный reg файл пишет что отказано в доступе, хотя блокнотом редактируется. В HJT пофиксил все ключи которые вы сказали. А так вроде все хорошо.

razor938, Spybot S&D защищает некоторые ветки реестра, он у вас был установлен (судя по изм-ию файла hosts - да)? Ещё возможно, что проблема связана с "украшательствами"
Выполните скрипт в AVZ (отключить все защитные программы),
begin
ExecuteRepair(1);
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(11);
ExecuteRepair(16);
ExecuteRepair(17);
end.
пуск - выполнить regedit
см. ключ
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Удалить параметр CheckedValue
Щелкнуть правой кнопкой мыши в этом же окне и выбрать "создать параметр DWORD". Назвать его CheckedValue. Поставить значение 1, перезагрузиться

Ни фига...... Я даже UXTheme удалил.... Скрипт выполнил, ребутнулся, удалил и создал ключ который вы сказали, опять перезагрузился... Но папки отображаться не спешат :)

razor938, сделайте все логи согласно правилам, проверку антивирусами можете пропустить.
Я правильно понял, что меню "Сервис" - "Свойства папки..." - "Вид" и галочки "Скрывать защищенные системные файлы" и "Показывать скрытые файлы и папки" недоступны?
покажите что у вас в [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] и [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]

Всё, на мобиле осталось 50 копеек, загляну через пару дней :up (АДСЛ до сих пор не сделали)

razor938, попробуйте выполнить скрипт
procedure DisableAutorun;
begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTyp eAutoRun', 221);
begin
DisableAutorun;
end.
и ещё раз пуск - выполнить regedit
HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
Удалить параметр CheckedValue
Щелкнуть правой кнопкой мыши в этом же окне и выбрать "создать параметр DWORD" (не строковый!). Назвать его CheckedValue.
Поставить значение 1
Дополнительно, в [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] удалем "Hidden"=0 и ставим
"Hidden"=dword:00000001
перезагрузиться

Pili, Вы все правильно поняли. Всё почти так. Скрин ветки реестра сейчас выложу.
Меню сервис и т.д. доступно и работает. Но дело в том что при применении параметров другие скрытые папки видны, а WINDOWS попрежнему не видно

Вот скрины веток реестра + логи. Лог AVZ выложу через пару минут :biggrin: :)