[Don Reba]

yurfed, спасибо за совет.
Pili, отправил в ЛС ссылку.
Логи присоединяю.

[Don Reba]

Ура-ура-ура!!! /me прыгает от радости )
Спасибо огромадное, это просто колдунство какое-то! Исчезла эта раздражающая надпись и мир наступил в моих бедных ламерских мозгах.
Если можно, прежде чем закрыть топик, ответьте на несколько вопросов:
а) Восстановление системы обратно включить или и без него прожить можно?
б) Как правильно удалить бедолагу Касперского? Вот что я обнаружил в оснастке управления службами:



Просто удалить папку не могу, ругается, типа либо нет доступа, либо файл занят.
в) В чем была причина моей неудачи? Не дайте помереть неучем. Я ведь эту длл-ку искал. Через Тотал Командира, Alt+F7 и в безопасном, не видно её было!

[yurfed]

Цитата Don Reba:

а) Восстановление системы обратно включить или и без него прожить можно? »

Можно и включить, всё равно там пусто.

Цитата Don Reba:

б) Как правильно удалить бедолагу Касперского? Вот что я обнаружил в оснастке управления службами: »

Поищи тут

Код:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

[Pili]

A0084403.dll - Trojan.Win32.Vapsup.gqj
Удалился отключением восстановления системы.

Цитата Don Reba:

Я ведь эту длл-ку искал. Через Тотал Командира, Alt+F7 и в безопасном, не видно её было! »

xodqtahl.dll в карантин не попал, по логам его в системе уже нет, возможно от dll оставался только мусор в реестре, почистили.

Цитата Don Reba:

Восстановление системы обратно включить или и без него прожить можно? »

Можно, прожить без восстановления тоже можно, на ваше усмотрение

Цитата Don Reba:

Как правильно удалить бедолагу Касперского? »

is-QULDSdrv и все подобное - от AVPTool
Запускаете AVPTool, когда закроете окно, кн "х", запросит про удаление, подтверждаете.
По логам чисто.
Рекомендую отключить не используемые службы и настроить безопасность

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешены терминальные подключения к данному ПК

Скрипт

Код:

begin
//TermService (Службы терминалов)
SetServiceStart('TermService', 4);
//терминальные подключения к ПК
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
//возможность подключения анонимных пользователей
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
//административный доступ к локальным дискам
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
//RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
SetServiceStart('RDSessMgr', 4);
//mnmsrvc (NetMeeting Remote Desktop Sharing)
SetServiceStart('mnmsrvc', 4);
//TlntSvr (Telnet)
SetServiceStart('TlntSvr', 4);
//SSDPSRV (Служба обнаружения SSDP)
SetServiceStart('SSDPSRV', 4);
end.

Можете удалить из скрипта то, что требуется (перед строчкой комент.)
Для защиты от вирусов типа autorun.inf
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можно скачать и запустить утилиту (не забудьте подключить флешки и/или другие съемные носители) Flash Drive Disinfector - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Чистого вам интернета.

[Don Reba]

Спасибо. Но...
этот компьютер в сети, маленькой но сети. И Гостя мне пришлось включить, потому что иначе, не было доступа к расшаренным папкам других компов сети. Плюс, эта чертова система Контур-Экстерн, сдача налоговых отчетов через Инет, дюже капризная, мало ли что ей нужно. Так что, благодарю, но от отключения служб пока воздержусь. По крайней мере, без возможности безболезненного отката.
А вот после отключения автозагрузки, исчезло "безопасное извлечение устройств". Это нормально? Если нет, в каком разделе форума уместно об этом поговорить?
И еще. Интересно ваше мнение о "Средстве удаления вредоносных программ" aka KB890830-v1.42? Бесполезное барахло или все таки что-то может? (дело в том что и ее применял, просто забыл упоминуть в первом посте)

Цитата Pili:

Чистого вам интернета. »

Взаимно!!

[Pili]

Цитата Don Reba:

А вот после отключения автозагрузки, исчезло "безопасное извлечение устройств" »

Пуск -> Выполнить -> regsvr32 hotplug.dll
Можно вернуть автозапуск твиком (не рекомендую)

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000001

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=-

Лично я безопасным извлечением устройств никогда не пользуюсь, на флешке все равно все записывается :) Уж лучше отключить автозапуск.

Цитата Don Reba:

в каком разделе форума уместно об этом поговорить? »

Microsoft Windows XP и поиск по форуму
[решено] Не появляеться значок "Безопасное извлечение устройства" при подключении USB Device

Цитата Don Reba:

мнение о "Средстве удаления вредоносных программ" aka KB890830-v1.42? »

имхо, малоэффективное средство