[teofrast]

SpyHunter удалил, Ad-Aware заменил новой версией, логи virusinfo_syscheck.zip, hijackthis.zip лежат зареренные на http://dump.ru/files/p/p9632019221/

из данного списка
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
пожалуй нчиего не надо, тем более что большинсво я даже не понимаю для чего

[zeroua]

teofrast, мне кажется что перед тем как говорить

Цитата teofrast:

пожалуй нчиего не надо, тем более что большинсво я даже не понимаю для чего »

, стоит немного вникнуть в смысл данных служб и параметров ...

про службы можно почитать здесь, а также скачать оффлайн версию в формате chm ... которая являет собою замечательный электронный справочник по службам в Windows XP...

я думаю что если вы проявите ещё немного упорства то и про остальное узнаете без особого труда ...

[teofrast]

спасибо за ссылку, почитал действителньо ничего не надо, из этого списка, до этого знал толкьо про планировщик заданий, и автозапуск с сидирома

да кстати а если они не нужны как их отключить?

[zeroua]

teofrast, хм вот список того что отключаю я, может что-то из этого вам пригодится... не пользуйтесь этим бездумно ...

Код:

Windows Registry Editor Version 5.00

;Отключение служб...
;Удаленный реестр
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RemoteRegistry]
"Start"=dword:00000004

;NetMeeting Remote Desktop Sharing
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mnmsrvc]
"Start"=dword:00000004

;Диспетчер сеанса справки для удаленного рабочего стола
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\RDSessMgr]
"Start"=dword:00000004

;Служба обнаружения SSDP
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SSDPSRV]
"Start"=dword:00000004


;Отказ в доступе из сети анонимным пользователям
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa]
"RestrictAnonymous"=dword:00000002

;Отключение стандартных административных общих ресурсов (C$ и т.д.)
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\lanmanserver\parameters]
"AutoShareWks"=dword:00000000
"AutoShareServer"=dword:00000000

;Отключить автозапуск для всех типов приводов и устройств
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

про твики регистра можно почитать тут , скачать же оффлайн версию можно тут

[Pili]

teofrast, пришел ответ от вирлаба, ChCfg.exe чист
mchInjDrv.sys и logon.scr можно удалить, их все равно нет, выполните скрипт, заодно отключаем все не нужное.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\Drivers\mchInjDrv.sys');
 DeleteFile('C:\WINDOWS\system32\logon.scr');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.

Если сами эти строчки не делали, можно пофиксить в HJT (это не обязательно, но чтобы не было мусора)

Цитата:

O4 - HKUS\S-1-5-19\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [ZZZZ2_FirstLogonSetting] %SystemRoot%\System32\rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\custom.inf,NewUserFirstLogonInstall,0 (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\RunOnce: [IE7_011] regsvr32 /s /n /i:u shell32 (User 'SYSTEM')

В остальном логи чистые. Проблем больше не наблюдается?

[teofrast]

скрипт выполнил, пофиксил, проблемы больше нет!!! спасибо вам огромнейшее!!! я тут заметил под вашим ником благодарности, как мне сделать чтобы их стало на одну больше? и как отметить в настройках темы что проблема решена?

[Pili]

teofrast, Настройки темы - наверху (чуть ниже строки "Компьютерный форум OSzone.net » Информационная безопасность » Лечение систем от вредоносных программ » Trojan-Downloader.Adload.pd"), полезные сообщения - внизу )
Да, ещё рекомендую отклчить автозапуск со съемных дисков
Сохраните текст ниже как noautorun.reg и примените

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можете скачать и запустить утилиту Flash Drive Disinfector - создает каталоги с именем autorun.inf на дисках (не забудьте подключить флешки и др. съемные носители) - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
Советую также прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге.

[teofrast]

все сделал, и изменений в регистр, запустил Flash Drive Disinfector, и книгу себе занес в избранное. ЕЩЕ РАЗ ОГРОМНЕЙШЕЕ ВАМ СПАСИБО ЗА КВАЛИФИЦИРОВАННУЮ ПОМОЩЬ И ПОТРАЧЕННОЕ НА МЕНЯ ВРЕМЯ!!!!!