[Pili]

a-lian, комп рабочий или домашний?
Если домашний

Цитата:

begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.

Какие то проблемы с компом ещё наблюдаются?

[a-lian]

Pili,
домашний, так что, наверное, можно удалять. Это ведь все никак не связано с искалеченной виндой?

Цитата Pili:

Какие то проблемы с компом ещё наблюдаются? »

вроде бы нет, остальные все "железные" - с перегревом и камерой, но это, кажется, в другие разделы.
Спасибо вам еще раз.

[Pili]

Пожалуйста )
Нет, это не связано с искалеченностью винды, теперь она у вас вовсе не искалеченная, а вылеченная. Это связано с улучшением безопасности винды
На будущее, чтобы уменьшить риск заражения, советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"

[a-lian]

о, здОрово! почитаю обязательно, давно искала что-то подобное.
не, искалеченная в том плане, что сдохнуть она должна была месяца 4 назад, живет же на каких-то подпорках, уж не знаю на каких
кхм, только гугл продолжает выдавать сообщения в духе "компьютерный вирус или шпионское по посылает нам автоматические заявки..."

[Pili]

a-lian, выполните скрипт

Цитата:

begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\epm-po.dll',''); BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.

Карантин выложите на файлообменник (ifolder.ru например и не забудьте дать ссылку, в ПМ или сюда, 1-ое лучше)
Повторите логи.

[a-lian]

Pili,
карантин отправила на ПМ
cureit сегодня не смогу сделать
остальное выкладываю

[Pili]

a-lian, такое впечатление, что или логи старые или не выполнились скрипты из поста 19 или что-то успело после скрипта в файл Hosts записать
В AVZ - файл - выполнить скрипт

Цитата:

begin ClearHostsFile; end.

Или другой способ в AVZ- файл-восстанволение системы - п.13, после этих действий проверьте файл WINDOWS\system32\drivers\etc\hosts
в нем должно быть только 127.0.0.1 localhost
И ничего больше

Пофиксить в HJT

Цитата:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://google.icq.com R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mail.ru/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки

Майл ру агент рекомендую удалить. И также осталось

Цитата:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя

т.е. этот скрипт не был выполнен

Цитата:

begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.

[a-lian]

Pili,
Нет, логи все-таки сегодняшние, а это просто я нехороший человек - посмотрела, что все потенциально опасные службы запускаются вручную, а не автоматически, на том и успокоилась. Сейчас уже исправила. Если честно, делала не через скрипт, а через Администрирование-> Службы

В папке etc есть файлы hosts, lmhosts.sam, networks, protocol, services.

В HJT, каюсь, профиксила только что.

- автозапуск программ с CDROM - пока оставила
- административный доступ к локальным дискам (C$, D$ ...) - тоже пусть пока живет
- к ПК разрешен доступ анонимного пользователя - я не знаю, как должен выглядить скрипт, чтобы выполнить только это

Агент удалила, FlashGet тоже

Два вопроса - не могу ли я все же вернуть в качестве домашней страницы mail, а не mcn.com? =)
и второй - нормально ли, что теперь при загрузке рабочего стола на какое-то мгновение появляется черный экранчик, как при выполнении cmd?

[Pili]

В файле hosts должна быть запись только
127.0.0.1 localhost
и ничего больше
через Администрирование-> Службы - тоже можно службы настраивать.

Цитата a-lian:

не могу ли я все же вернуть в качестве домашней страницы mail, а не mcn.com? »

можете, в настройках IE поставить домашнюю страницу, просто HJ ставить на msn
гугл больше не ругается? )
Логи HJ и 2-й скрипт AVZ (если не трудно) повторите плиз

Цитата a-lian:

- к ПК разрешен доступ анонимного пользователя - я не знаю, как должен выглядить скрипт, чтобы выполнить только это »

это

Цитата Pili:

RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); »

[a-lian]

Цитата Pili:

В файле hosts должна быть запись только 127.0.0.1 localhost и ничего больше »

видимо, я неправильно вас поняла, мда. У меня это выглядит так (из блокнота, не знаю, чем его еще открыть):
#maincnt {width:750px; margin-left:auto;margin-right:auto;}
127.0.0.1 localhost

гугл молчит, нортон достойно отражает worms =)

Хм, Планировщик заданий пока живет в ручном режиме, что-то я не могу понять, нужен он или нет, анонимный пользователь тоже пока с нами.

Я правильно понимаю, что в скрипте должны быть begin и end ?)
Ой, да, главный глупый вопрос - что сделать с карантином? то, что советуют на вирус.инфо? *мамочки*

И все ж - на окно cmd не обращать внимания? (простите мою навязчивость)