Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Кто подскажет в чем проблема?!?! (http://forum.oszone.net/showthread.php?t=127329)

ZAclub 29-12-2008 18:10 993175
Кто подскажет в чем проблема?!?!
 
НУ вощем попробую описать проблему. Сижу значит я в нете, вдруг у меня рабочий стол как бы обновляется и переходит к класическому виду (иногда обратно под XP), далее я лазить по инету не могу т.к. нету соединения с нетом однако значок что я подключен к нету висит=) (в области часов который), пытаюсь отключится - не исчезает значек=((. Что бы зайти в нэт приходится перезагружатся. Ну это еще пол беды, так же постоянно появляется проблема с открыванием локального диска, её кстати я решаю моментом, в реесторе удаляю MountPoints2, но каждые 5 минут я немогу удалять((( надоедает((
Проверял Антивирусом касперского (обновления 29.12.08) нашел какие то вирусы удалил но проблема осталась. Помогите пож. за ранее спасибо

iskander-k 29-12-2008 19:32 993236
Выложите логи для начала.

ZAclub 29-12-2008 21:16 993314
Вложений: 1
ВОТ лог

Pili 30-12-2008 08:30 993544
ZAclub, Здравствуйте.
Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\autorun.inf','');
 QuarantineFile('C:\System Volume Information\_restore{6608DFC3-EBFC-4E5B-8516-605A2267E72A}\RP52\A0041371.exe','');
 DeleteFile('C:\System Volume Information\_restore{6608DFC3-EBFC-4E5B-8516-605A2267E72A}\RP52\A0041371.exe');
 DeleteFile('C:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(5);
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteWizard('TSW', 1, 1, true);
ExecuteWizard('BT', 1, 1, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
       
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Обновите Java Runtime Environment (JRE)
Скачайте JavaRA здесь или здесь
Распакуйте, запустите, выберите "Remove Older Versions",
Далее нажмите "Search For Updates", выберите "Update Using Sun Java's Website" и "Open Webpage"
Альтернативный вариант - после удаления старой версии скачайте и установите последнюю версию Java Runtime Environment (JRE) с сайта производителя.

Создайте новую контрольную точку восстановления и очистите предыдущие:
- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить
- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Цитата:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Рекомендую отключить неиспользуемые службы и настроить безопасность, скажите что не нужно и можно будет отключить скриптом. По службам можно почитать здесь.
Повторите логи virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ) и hijackthis


Время: 16:47.

Время: 16:47.
© OSzone.net 2001-