[Pili]

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить». На время выполнения скрипта выключите антивирус, firewall и отключите интернет.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('WinCtrl32.dll','');
 QuarantineFile('H:\WINDOWS\system32\brastk.exe','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winyf05.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winye73.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winxe74.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winvc05.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winsy52.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winsy41.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winsx17.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx85.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx63.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx06.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winrx05.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winrw06.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winpv73.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winpv28.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winou62.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winnt28.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winnt05.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winns17.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winms52.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winlr63.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winlr28.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winkt67.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winkp63.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winjp74.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winho38.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winhn17.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winhn06.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Wingm41.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Wingm17.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winfl74.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winfl17.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winek63.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winek52.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winci74.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winci63.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winbh52.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winbh38.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winag85.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winag30.sys','');
 QuarantineFile('H:\WINDOWS\System32\Drivers\Winag17.sys','');
 QuarantineFile('H:\WINDOWS\system32\WinCtrl32.dll','');
 DeleteFile('H:\WINDOWS\system32\WinCtrl32.dll');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winag17.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winag30.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winag85.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winbh38.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winbh52.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winci63.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winci74.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winek52.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winek63.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winfl17.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winfl74.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Wingm17.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Wingm41.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winhn06.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winhn17.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winho38.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winjp74.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winkp63.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winkt67.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winlr28.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winlr63.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winms52.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winns17.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winnt05.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winnt28.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winou62.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winpv28.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winpv73.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winrw06.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winrx05.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winrx06.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winrx63.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winrx85.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winsx17.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winsy41.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winsy52.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winvc05.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winxe74.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winye73.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winyf05.sys');
 DeleteFile('H:\WINDOWS\system32\brastk.exe');
 DeleteFile('WinCtrl32.dll');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteFile('H:\WINDOWS\system32\WinCtrl32.dll');
 BC_DeleteFile('H:\WINDOWS\system32\brastk.exe');
 BC_DeleteSvc('Winyf05');
 BC_DeleteSvc('Winye73');
 BC_DeleteSvc('Winxe74');
 BC_DeleteSvc('Winvc05');
 BC_DeleteSvc('Winsy52');
 BC_DeleteSvc('Winsy41');
 BC_DeleteSvc('Winsx17');
 BC_DeleteSvc('Winrx85');
 BC_DeleteSvc('Winrx63');
 BC_DeleteSvc('Winrx06');
 BC_DeleteSvc('Winrx05');
 BC_DeleteSvc('Winrw06');
 BC_DeleteSvc('Winpv73');
 BC_DeleteSvc('Winpv28');
 BC_DeleteSvc('Winou62');
 BC_DeleteSvc('Winnt28');
 BC_DeleteSvc('Winnt05');
 BC_DeleteSvc('Winns17');
 BC_DeleteSvc('Winms52');
 BC_DeleteSvc('Winlr63');
 BC_DeleteSvc('Winlr28');
 BC_DeleteSvc('Winkt67');
 BC_DeleteSvc('Winkp63');
 BC_DeleteSvc('Winjp74');
 BC_DeleteSvc('Winho38');
 BC_DeleteSvc('Winhn17');
 BC_DeleteSvc('Winhn06');
 BC_DeleteSvc('Wingm41');
 BC_DeleteSvc('Wingm17');
 BC_DeleteSvc('Winfl74');
 BC_DeleteSvc('Winfl17');
 BC_DeleteSvc('Winek63');
 BC_DeleteSvc('Winek52');
 BC_DeleteSvc('Winci74');
 BC_DeleteSvc('Winci63');
 BC_DeleteSvc('Winbh52');
 BC_DeleteSvc('Winbh38');
 BC_DeleteSvc('Winag85');
 BC_DeleteSvc('Winag30');
 BC_DeleteSvc('Winag17');
BC_Activate;
RebootWindows(true);
end.

Рекомендую проверить систему с помощью cureit и AVPTool
Повторите логи.

[лехман]

отправляю новые логи

[Pili]

лехман, Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('Winou40', 4);
 SetServiceStart('Winjp63', 4);
 SetServiceStart('Winci28', 4);
 QuarantineFile('H:\Program Files\XP_AntiSpyware\AVEngn.dll','');
 QuarantineFile('H:\Program Files\XP_AntiSpyware\XP_AntiSpyware.exe','');
 DeleteFile('H:\Program Files\XP_AntiSpyware\XP_AntiSpyware.exe');
 DeleteFile('H:\Program Files\XP_AntiSpyware\AVEngn.dll');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winci28.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winjp63.sys');
 DeleteFile('H:\WINDOWS\System32\Drivers\Winou40.sys');
 DeleteFileMask('H:\Program Files\XP_AntiSpyware', '*.*', true);
 DeleteDirectory('H:\Program Files\XP_AntiSpyware');
 DeleteService('Winou40');
 DeleteService('Winjp63');
 DeleteService('Winci28');
BC_ImportDeletedList;
ExecuteSysClean;
 BC_DeleteSvc('Winou40');
 BC_DeleteSvc('Winjp63');
 BC_DeleteSvc('Winci28');
BC_Activate;
RebootWindows(true);
end.

Цитата:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

У вас файловый вирус - см. метод лечения системы от файловых вирусов, сканировать c помошью AVPTool и CureIt до тех пор, пока вирусы не перестанут находится - лучше с LiveCD
После этого можете сделать новые логи.

[лехман]

Систему проверил, выкладываю новые логи

[Pili]

лехман,
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".

Код:

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - h:\program files\google\googletoolbar2.dll (file missing)
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - H:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll (file missing)
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - h:\program files\google\googletoolbar2.dll (file missing)
O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'Default user')
O20 - Winlogon Notify: WinCtrl32 - H:\WINDOWS\
O24 - Desktop Component 0: (no name) - http://search.yaca.yandex.ru/yca/cy/ch/www.udm.vt.ru/100%
O24 - Desktop Component 1: (no name) - http://vitoslav.home.nov.ru/pic/izba2.jpg

Цитата:

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя

Рекомендую настроить эти параметры безопасности, если что не нужно - скажите, можно отключить скриптом.

В остальном по логам чисто, проблемы ещё наблюдается?

[Grey_rnd]

Цитата Pili:

Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя »

Я так понимаю из того что следует отключить по мнению AVZ это службы с без помощи которых подключиться к нету невозможно. Какаие службы можно безболезненно отрубить в XP...без последующих торможений винды и проблемм с подключением к нету?
Как перекрыть доступ к дискам?

[Pili]

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Чтобы отключить, выполните скрипт

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.

Из служб можно отключить

Цитата:

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

Скрипт

Код:

begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
end.

Если не используете

Цитата:

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

можно отключить скриптом

Код:

begin
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.

По службам можно почитать здесь
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и для предотвращения заражения в будущем следовать рекомендациям, описанным в этой книге.

[Grey_rnd]

Цитата Pili:

Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий »

Хм..вы знаете уважаемый Pili я много раз замарачивался с отключениями служб..и это ни к чему хорошему не приводило (это по моему личному опыту), прочитал на этот счет много инфы,все образованные,грамотные..много чего советуют,но при отключении некоторых служб ХР вместо того что бы начинать легче и быстрее грузиться начинает тормозить при загрузке..причем существенно. Начинаются непонятные косяки и ошибки...
Например (по материалам OSzone) заявленная служба IIS Admin (IIS Admin)
Позволяет администрировать веб- и FTP-службы с помощью оснастки IIS.
Название службы: IISADMIN
Название процесса: inetinfo.exe
По умолчанию в Windows XP Home: Не установлена
По умолчанию в Windows XP Pro: Не установлена
Рекомендуемое значение: Не установлена
Вход от имени: Локальная система
Якобы которую можно отключить,т.к. администрирование не нужно, но без нее начинают твориться касяки с инет подключением. Вплоть до того что невозможно работать в инете. Не грузятся.
Хотя при отключении этой службы рубятся еще потенциально опастные службы:\
Какие сервисы нужны для нормального функционирования службы IIS Admin (IIS Admin):
Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))
Диспетчер учетных записей безопасности (Security Accounts Manager)
Удаленный вызов процедур (RPC) (Remote Procedure Call (RPC))

Какие службы требуют работу службы IIS Admin (IIS Admin) для нормального функционирования:
FTP-публикации (FTP Publishing Service)
Simple Mail Transport Protocol (SMTP) (Simple Mail Transport Protocol (SMTP))
Веб-публикации (World Wide Web Publishing)
Вот! И как тут быть?!

[Severny]

Чтобы установить оснастку IIS, нужно специально дополнительно ее активировать в "Установке компонентов Windows". По умолчанию в ХР она не то что отключена, а даже не установлена.
Нужна, если вы собираетесь использовать FTP-server, SMTP или Веб-сервер производства Microsoft на своем компьютере. К работе интернета отношения не имеет. На подключение к инету вообще не должна влиять.