[Сет]

Как это саму програму?А,точно
Сори,меня тут просто отвлекали
Вот,вылаживаю

[Pili]

Выполните в AVZ скрипт, на время выполнения скрипта отключите антивирус

Цитата:

begin SetAVZGuardStatus(True); SearchRootkit(true, true); QuarantineFile('C:\Documents and Settings\Админ\Рабочий стол\мультимедиа\Picture Package Applications\Residence.exe',''); QuarantineFile('C:\Documents and Settings\Кристина\ntuser.exe',''); QuarantineFile('C:\WINDOWS\system32\drivers\win32.exe',''); QuarantineFile('C:\WINDOWS\system32\ewts.dll',''); QuarantineFile('C:\qqd.sys',''); QuarantineFile('E:\Fxdrv.sys',''); QuarantineFile('C:\WINDOWS\Mrshield.exe',''); QuarantineFile('C:\WINDOWS\System32\Drivers\NDIS.sys',''); QuarantineFile('C:\WINDOWS\system32\sysfldr.dll',''); QuarantineFile('C:\WINDOWS\system32\sfc_os.dll',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); DeleteFile('C:\Crack\WinXp SP2 Crack\Windows_XP_Key_Viewer.exe'); DeleteFile('C:\WINDOWS\system32\sysfldr.dll'); DeleteFile('C:\WINDOWS\Mrshield.exe'); DeleteFile('C:\qqd.sys'); DeleteFile('C:\WINDOWS\system32\ewts.dll'); DeleteFile('C:\WINDOWS\system32\drivers\win32.exe'); DeleteFile('C:\Documents and Settings\Кристина\ntuser.exe'); DelBHO('{7E853D72-626A-48EC-A868-BA8D5E23E045}'); DeleteService('Microsoft register shield'); DeleteService('qqd.sys'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.

после перезагрузки, выполните ещё один скрипт

Цитата:

begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.

quarantine.zip из папки AVZ выложите на ifolder.ru или slil.ru или другой файлообменник, ссылку лучше в ПМ.
Пофиксите в HJT

Цитата:

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O20 - Winlogon Notify: SharedDLLs - C:\WINDOWS\system32\ewts.dll (file missing) O20 - Winlogon Notify: sysfldr - C:\WINDOWS\SYSTEM32\sysfldr.dll O20 - Winlogon Notify: WebCheck - C:\WINDOWS\

Повторите все логи,

[Сет]

Так,все зделал...При загрузке Нод уже не ругается по поводу вируса..Что с реестром посоветуете делать?

[Pili]

Сет, логи старые, сделайте новые логи.
после лечения поменяйте все пароли, они скорее всего ушли. Диск E это у вас что?
C:\WINDOWS\system32\sysfldr.dll Backdoor.Win32.SdBot.cpr
поищите через AVZ - сервис - поиск файлов, если найдутся, добавьте в карантин вручную и выложите ещё раз так же

Цитата:

C:\WINDOWS\Mrshield.exe E:\Fxdrv.sys C:\qqd.sys C:\WINDOWS\system32\ewts.dll

[Сет]

Диск Е - это сидюк. Там диск какой-то умник положил,я не заметил, сори.

Цитата Pili:

C:\WINDOWS\system32\sysfldr.dll Backdoor.Win32.SdBot.cpr поищите через AVZ - сервис - поиск файлов, если найдутся, добавьте в карантин вручную и выложите ещё раз так же Цитата:C:\WINDOWS\Mrshield.exe E:\Fxdrv.sys C:\qqd.sys C:\WINDOWS\system32\ewts.dll »

Ничего нету.
Сделал новые логи. Щас загружаю на файлообменник.
Паролей на винде не стояло. На квипе поменять?

[Pili]

Пришел ответ из ЛК

Цитата:

C:\Documents and Settings\Кристина\ntuser.exe C:\WINDOWS\system32\drivers\win32.exe Trojan-Downloader.Win32.Small.hqy Детектирование файлов будет добавлено в следующее обновление.

мы их уже удалили
пофиксите

Цитата:

O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)

возможно придется переустанавливать аську (рекомендую qip - qip.ru)
по логам зловредов больше не видно.
Выполните скрипт

Цитата:

var X : integer; begin X := ExecuteWizard('TSW', 1, 1, true); AddToLog('Количество найденных проблем = '+inttostr(X)); end.

Или, вместо выполнения этого скрипта, запустите в AVZ Мастер поиска и устранения проблем, выберите все системные проблемы и исправьте найденные проблемы.
Отключите не нужные сервисы, гуглтулбар можно снести, если не критично.

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?
Сделайте лог исследования системы и лог HJT (virusinfo_syscheck.zip, hijackthis.zip), вложите в тему (теперь не надо на файлообменник)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и выполнить рекомендации описанные в ней.

зы. пароли поменять все, у вас был пинч!

Цитата:

Platform: Windows XP SP1 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

ставьте SP2 и все обновления после него! Рекомендую поставить фаервол.

[Сет]

Цитата Pili:

пофиксите Цитата:O2 - BHO: XTTBPos00 - {055FD26D-3A88-4e15-963D-DC8493744B1D} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing) O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program Files\ICQToolbar\toolbaru.dll (file missing) O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing) O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing) »

Профиксил.
Сообщение реестра перестало выходить после удаления Нода. Установил - снова стало выпадать при загрузке.
Зделал все,как сказано,решил проверить - поставил Нод поновой - снова выпадает сообщение реестра...
Как же без антивируса?

[Pili]

логи чистые

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешена отправка приглашений удаленному помошнику

что из этого не нужно?

Цитата Сет:

выпадает сообщение реестра... »

что за сообщение? скрин выложит можете?
а вообще, рекомендую на Avira перейти, потому что нод у вас не понятно чем занимался
ещё можете удалить Picture Package и пофиксить

Цитата:

O4 - Global Startup: Picture Package Menu.lnk = ? O4 - Global Startup: Picture Package VCD Maker.lnk = ? O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by120fd.bay120.hotmail.msn.co...s/MsnPUpld.cab

восстановление системы теперь можно снова включить
Для спокойствия, ещё можете найти c:\program files\media key\magickey.exe и самостоятельно проверить на virustotal.com, скорее всего окажется чистым

[Сет]

Цитата Pili:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX >> Безопасность: Разрешена отправка приглашений удаленному помошнику »

служба SSDPSRV (Служба обнаружения SSDP);служба Alerter (Оповещатель);служба Schedule (Планировщик заданий) - отключил
Прикрепил скриншот
Антивирус определяет начальство(по стоимости)

Цитата Pili:

ещё можете удалить Picture Package »

Нужен,говорят

[Pili]

Хмм... avz не видит, что редактирование реестра запрещено, скорее всего это глюк самого NOD, на всякий случай можете выполнить скрипт AVZ

Цитата:

begin ExecuteRepair(5); ExecuteRepair(6); ExecuteRepair(7); ExecuteRepair(8); ExecuteRepair(9); ExecuteRepair(11); ExecuteRepair(16); ExecuteRepair(17); end.

перезагрузится и переустановить нод, кстатиAvira AntiVir PE free, но на англ. яз.