[Pili]

qaz741, Здравстуйте.
Настоятельно рекомендуем установить критическое обновление KB958644
У вас установлен этот патч? Если нет, установите, включите встроенный брандмауэр windows, уберите галочку во вкладке исключения - обший доступ к файлам и принтерам сети, дополнительно воспользоваться утилитой wwdc, см. также здесь
Дополнительно читайте Эпидемия Net-Worm.Win32.Kido
Проверьте систему утилитой от bitdefender - скачайте, распакуйте файл и запустите, нажмите "Scan", если утилита ничего не найдет, появится сообщение "System clean"
Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner
- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.
- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
- если вы используете Opera, нажмите Opera - Select All - Empty Selected
- нажмите No, если вы хотите оставить ваши сохраненные пароли
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Temp\~DF687.tmp','');
 QuarantineFile('digeste.dll',''); 
 DeleteFile('C:\Temp\~DF687.tmp');
 DeleteFile('digeste.dll');
 DeleteFile('C:\WINDOWS\system32\digeste.dll');
 DeleteFileMask('%Tmp%', '*.*', true);
 DeleteFileMask('C:\Temp\', '*.*', true);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Скачайте SDFix здесь или здесь, загрузитесь в безопасном режиме, запустите утилиту (запустить RunThis.bat из папки SDFix - подтвердить, нажав "Y"), после окончания сканирования скопируйте (Ctrl+A, Ctrl+C) текст из C:\Report.txt и вставьте (Ctrl+V) в следующее сообщение, если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\Report.txt и прикрепите к сообщению
Описание SDFix есть здесь или здесь

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.
Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Скачайте DDS и сохраните на рабочий сто, отключите антивирус и запустите dds.scr, когда сканирование закончится, скопируйте текст из файлов DDS.txt и Attach.txt в сообщение или запакуйте файлы и вложите в сообщение

[qaz741]

Всё сделала, прикрепляю отчеты.


Изменения:
1. Загрузка системы теперь очень долго длится (3-4 минуты)
2. Значок в трее "Подключение по локальной сети" перманентно находится в состоянии "Получение сетевого адреса", несмотря на то, что интернет благополучно подключается.
3. Медленно с зависанием на 1-2 секунды происходит переключение между окнами по ALT-TAB.
4. При первой попытке перетаскивания мышкой установочного файла на иконку ComboFix система выдавала сообщение о том, что недостаточно прав. Учетная запись одна, с правами администратора. К панели управления доступ также пропал. Зашла в безопасном режиме, создала еще одну учетную запись, после этого благополучно в обычном режиме зашла под старой учетной записью. Что это было - непонятно

Outpost продолжает выдавать предупреждения о сканировании портов 3288, 832 (чаще всего), 55525, 30771, 32561, 3410 даже при отключенном интернете, т.е. по локальной сети. IP-адреса разные. Еще какие-то атаки APR_SCAN.

Может причина в Outpost'e?

Медленно начинает ехать крыша

[qaz741]

Какая прелесть... У меня, оказывается, есть какие-то сетевые принтеры. Реальный у меня только один hp deskjet 3320 series.

Что делать с последними тремя, удалять?

[Pili]

qaz741, вы видимо находитесь в сети и в вас система обнаруживает сама в сети компьютеры, у которых открыт общий доступ к принтерам, можете удалить, но они могут снова появиться, отключите неиспользуемые службы.
Проверьте на virustotal.com
e:\pub\SOFT\abcNotes_v1.0.0_build_746 (стикеры липкие на экран)\Crack\abcnotes.exe
c:\windows\system32\Drivers\PortRST.sys
ссылку на рез-т проверки выложите.
Деинсталлируйте FlashGet - c:\program files\FlashGet
По долгой загрузке, попробуйте деинсталлировать временно Outpost и включите встроенный брадмауэр windows, в исключениях уберите общий доступ к файлам и принтерам.
По проблемам с сетью - попробуйте применить WinsockFix, по использованию здесь, только сохраните настройки сети перед использованием.
Диск F Это у вас флешка? проверьте, есть ли на ней файл F:\start.exe, предварительно рекомендую отключить автозапуск со съемных носителей
Сохраните текст ниже как fix.reg и примените.

Код:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\F]

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (Удалить выделенные). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

[qaz741]

Цитата Pili:

вы видимо находитесь в сети и в вас система обнаруживает сама в сети компьютеры, у которых открыт общий доступ к принтерам, можете удалить, но они могут снова появиться, отключите неиспользуемые службы. »

Принтеры удалила, пока не появляются. Со службами не совсем ясно. Просмотрела беглым взглядом, многие службы требуют работы других служб, т.е. отключив что-то, можно нарушить работу других служб. Какие службы наверняка не используются, даже не знаю. На что нужно обратить внимание?

Цитата Pili:

Проверьте на virustotal.com e:\pub\SOFT\abcNotes_v1.0.0_build_746 (стикеры липкие на экран)\Crack\abcnotes.exe c:\windows\system32\Drivers\PortRST.sys ссылку на рез-т проверки выложите. »

1. http://www.virustotal.com/ru/analisi...5dc88350b7cb2e могу удалить, не очень-то и хотелось ))
2. PortRST.sys - такого файла нет. Через поиск тоже не нашла. Есть файл portcls.sys в той же папке. На всякий случай проверила и его - чистый. http://www.virustotal.com/ru/analisi...b809fb03992aed

Цитата Pili:

Деинсталлируйте FlashGet - c:\program files\FlashGet »

Зачем его деинсталлировать? В принципе я уже давно им не пользовалась, могу удалить. Причина может быть в нем?

Цитата Pili:

По долгой загрузке, попробуйте деинсталлировать временно Outpost и включите встроенный брадмауэр windows, в исключениях уберите общий доступ к файлам и принтерам. »

Попробую.
Спасибо.

С остальным сейчас буду разбираться.

[Pili]

Цитата qaz741:

На что нужно обратить внимание? »

Цитата:

8. Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

по ссылке службы, есть описание, отключить можно скриптом, скажите что не нужно.
и ещё

Цитата:

>> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: Разрешена отправка приглашений удаленному помошнику

Цитата qaz741:

могу удалить, не очень-то и хотелось )) »

Удалите.

Цитата qaz741:

Зачем его деинсталлировать? »

См. здесь, можете перейти на другой менеджер закачек.

[qaz741]

Посмотрела описания этих служб:

Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) Не нужно
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) Не пользовалась, скорее всего не нужно
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) Не нужно
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) Скорее всего не нужно

Отключила автозапуск
http://forum.oszone.net/showpost.php?p=825101

FlashGet деинсталлирован.

F: - это не флешка, это виртуальный привод. Флешки проверила, никаких лишних файлов типа start.exe нет.

Что делать с этим?

Цитата Pili:

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: Разрешена отправка приглашений удаленному помошнику »

[Pili]

qaz741, отключаем то, о чем вы написали "не нужно" и "скорее всего не нужно"

Цитата:

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: Разрешена отправка приглашений удаленному помошнику »

также отключаем. Выполните в AVZ скрипт

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('TermService', 4);
end.

Возможно TermService (Службы терминалов) вам потребуется. если пользователей на компьютере несколько и нужно оставить возможность быстрого переключения пользователей, тогда уберите строчку SetServiceStart('TermService', 4); из скрипта.
Проблемы ещё наблюдаются? Как себя чувствует компьютер?

[qaz741]

Установила третий сервис пак и обновления. Комп работает шустрее, на слабенькой машинке это хорошо заметно.

Outpost деинсталлировала, проблема длительной загрузки была не в нем. Причина длительной загрузки - в подключении к локальной сети, если выключить, компьютер загружается с обычной скоростью.

Проблема с состоянием подключения к локальной сети не исчезла, также остается перманентное состояние "Получение сетевого адреса", при этом подключение к интернету работает нормально.

При проверке программой Gmer, компьютер перезагружается через секунд 10. Т.е. первичная быстрая проверка проходит нормально, а вот после запуска проверки жестких дисков отключается компьютер. Пробовала несколько раз.

Цитата Pili:

Проблемы ещё наблюдаются? Как себя чувствует компьютер? »

Спасибо за беспокойство, я обязательно сообщу, когда проблем не будет