[SolarSpark]

Сразу хочу спросить девушки по экрану не бегают\бегали?
тобишь это ваше C:\Program Files\pchd\PCHDPlayer.exe?

файл HOSTS сами правили?
адреса для adobe.com и torrents.ru
подождите скрипт

[Ljuboznatel]

Цитата maniy77:

Сразу хочу спросить девушки по экрану не бегают\бегали? тобишь это ваше C:\Program Files\pchd\PCHDPlayer.exe? »

При мне не бегали, другой человек говорит что тоже не видел.
Я эту папку с pchd на днях обнаружил, погуглил про эту заразу и удалил.

Цитата maniy77:

файл HOSTS сами правили? адреса для adobe.com и torrents.ru »

Да, файл HOSTS я сам правил, добавлял строки для adobe.com и torrents.ru.
Раньше там еще строки для проверки подлинности Винды были, но Аутпост их удалил.

Добавлю, что винда оригинальная, сделанная на основе ru_winxp_pro_with_sp3_vl.iso (хэш-суммы верные).
На основе этого образа, я сделал другой — интегрировал хотфиксы и др. обновления с помощью программы nLite, на форуме есть тема про это, напишу ссылку когда найду.

[SolarSpark]

Отключите:
Компьютер от интернета/локальной сети
Антивирус/Файерволл

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\pchd\PCHDPlayer.exe','');
 DeleteFile('C:\Program Files\pchd\PCHDPlayer.exe');
 DelBHO('{CA3EB689-8F09-4026-AA10-B9534C691CE0}');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','PCHDPlayer');
 DeleteFileMask('C:\Program Files\pchd', '*.*', true);
 DeleteDirectory('C:\Program Files\pchd');
 DeleteFileMask('C:\WINDOWS\PIF', '*.*', true);
 DeleteDirectory('C:\WINDOWS\PIF');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

После перезагрузки выполните такой скрипт:

AVZ, меню "Файл -> Выполнить скрипт" -> Скопировать ниже написанный
скрипт -> Нажать кнопку "Запустить".

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Пофиксить в HijackThis следующие строчки:

Код:

O4 - HKCU\..\Run: [PCHDPlayer] C:\Program Files\pchd\PCHDPlayer.exe
R3 - URLSearchHook: (no name) - - (no file)
R3 - URLSearchHook: (no name) - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - (no file)

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. http://data.mbamupdates.com/tools/mbam-rules.exe Загрузить обновление MBAM.[/url]

Логи AVZ + RSIT повторяем и отписываемся о самочувствии

[SolarSpark]

До установки Outpost проявлялись зависания соединений в браузерах? известны конфликты связки Outpost +KAV

[Ljuboznatel]

Цитата maniy77:

До установки Outpost проявлялись зависания соединений в браузерах? »

Я Аутпост устаналивал сразу после установки Винды. Поэтому как вел себя браузер без Аутпоста не могу сказать, а другой человек непомнит когда начались зависания в браузерах.

Цитата maniy77:

известны конфликты связки Outpost +KAV »

Возможно и в этом причина, но на втором домашнем компе стоит связка Outpost(такой же) + KIS2010 (с некоторыми отключенными функциями, для обеспечения режима совместимости с Аутпостом) и там браузеры не тормозят. Хотя там и сам комп намного мощнее.

Сейчас отключил KAV не надолго, и браузер стал шустрее загружать страницы.
А когда откючал Аутпост, то изменения не наблюдал.

Неужели и правда KAV? или я его плохо настроил?
Сейчас сделаю ваши рекомендации, отпишусь с результатом.

[SolarSpark]

Цитата Ljuboznatel:

Возможно и в этом причина, но на втором домашнем компе стоит связка Outpost(такой же) + KIS2010 (с некоторыми отключенными функциями, для обеспечения режима совместимости с Аутпостом) и там браузеры не тормозят. Хотя там и сам комп намного мощнее. Сейчас отключил KAV не надолго, и браузер стал шустрее загружать страницы. А когда откючал Аутпост, то изменения не наблюдал. »

Вам надо настроить связку, примерно так:

Код:

Если при совместной работе KAV 2009 и Outpost наблюдается полная блокировка сетевых соединений, необходимо отключить драйвер низкоуровневой фильтрации продукта Лаборатории Касперского следующим образом:

   1. Откройте меню "Пуск > Панель управления > Сеть".
   2. Правой кнопкой мыши щелкните на используемое сетевое соединение и выберите "Свойства".
   3. Снимите галочку с KAV NDIS Filter.
   4. Перезагрузите компьютер.

Примечание: Это действие не является компромиссом с безопасностью, поскольку функции низкоуровневой фильтрации осуществляются соответствующим драйвером Outpost.

Если при совместной работе KAV и Outpost проявляются зависания соединений в браузерах (страницы не открываются или открываются частично), при этом Outpost фиксирует множественные соединения от процесса SYSTEM на порт 19780, то данные соединения устанавливаются KAV в виду его особенностей обработки трафика. Чтобы избежать открытия соединений на порт 19780, выполните следующие действия:

   1. Выключите самозащиту Антивируса Касперский.
   2. Выйдите из программы антивируса.
   3. В реестре в папке [HKEY_LOCAL_MACHINE\SOFTWARE\KasperskyLab\protected\AVP7\profiles\TrafficMonitor\settings] найдите параметр UseKavsend и замените его значение на 1.
   4. Запустите антивирус.
   5. Включите его самозащиту.
   6. Перезагрузите систему.

      Примечание: Если параметра UseKavsend нет, его нужно создать (DWORD) при выключенной самозащите антивируса. После этого нужно включить самозащиту антивируса и перезагрузить систему.

После выполнения вышеуказанных действий соединения SYSTEM:19780 более не устанавливаются и соединения в браузере не подвисают.

Я смотрю, у вас здесь много чего разрешено:

Цитата:

Поиск потенциальных уязвимостей >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба TlntSvr (Telnet) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: к ПК разрешен доступ анонимного пользователя

Определитесь с тем что нужно вам, остальное отключим скриптом для закрытия уязвимостей.

[Ljuboznatel]

Спасибо вам, maniy77, за советы.

Сейчас пока идет сканирование MBAM, как оно закончиться прикреплю логи и проверю настройки, связанные с KAV 2009 и Outpost.
Хотя предполагаю что Антимэлвейр ничего ненайдет, т.к. я его недавно запускал и было все спокойно.

Цитата maniy77:

Определитесь с тем что нужно вам, остальное отключим скриптом для закрытия уязвимостей. »

Я даже не знаю какие из этих службы мне нужны, а какие нет.
Скорее всего «к ПК разрешен доступ анонимного пользователя», если это «Гость» наверно не нужна точно.

Был бы вам очень признателен, если поможете определиться с этими службами.
Два компа через маршрутизатор, на обоих есть папки с открытым общим доступом и торрент-клиенты, скайп.
На моем (тот что сейчас «лечиться») есть принтер, сканер, подключаю фотокамеру и mp3-плеер, через соответствующий софт. Пока вроде все, м.б. еще что редкоиспользуемое вспомню.
На основе этого можно сделать вывод о том отключать эти службы?


Update:

Цитата maniy77:

Снимите галочку с KAV NDIS Filter.»

А для связки KIS2010 + Outpost Firewall Pro 2009 нужно такое делать?
А то на втором (более мощном) компе эта галка стоит.
И в Аутпосте, в «Используемые порты» есть такое:

Код:

AVP.EXE	TCP	local:any	19780	Allow all activity for AVP.EXE

Хотя здесь все работает без тормозов, но если будет еще быстрей, без потери безопасности, то это будет здорово.

[SolarSpark]

Раз два компа в сетке - вопрос сняла) не будем ничего менять, дабы не навредить.
По поводу анонимного пользователя:
Анонимный доступ и используется для того, чтобы без дополнительных телодвижений, получать доступ к сетевым ресурсам. В случае, если вы закрываете анонимный доступ, схема примерно следующая: мы создаем сетевой ресурс, например, общую папку или принтер. Мы удаляем из разрешений группу "Все" и добавляем в разрешения пользователя или группу пользователей. При попытке доступа по сети к данному сетевому ресурсу, будет выдан запрос на ввод имени пользователя и пароля. Если ввели правильно - получаем доступ, если неправильно - ресурс недоступен. Соответственно, ваша задача - на каждой машине сформировать список пользователей - и задать явные разрешения для общих ресурсов. Т.е."прописать друг у друга". Замечу, что это не всегда удобно: например, при такой схеме печать на сетевой принтер становится проблемным делом - вы должны сначала открыть окно состояния данного принтера, ввести имя пользователя и пароль, только затем сможете печатать.
Проверяйтесь МБАМ, прикладывайте лог+ логи AVZ. PSIT,

если сегодня не успею просмотреть-ничего страшного, ответ с дальнейшими рекомендациями вас будет ждать завтра с утра. Если вам так не удобно, поднимите тему сегодня, вам ответит другой хелпер.

Как самочувствие, что с загрузкой страниц?

[SolarSpark]

Настройка

Цитата:

Снимите галочку с KAV NDIS Filter.»

подходит как для KAV, так и для KIS. Но это рекомендуется, при проблемной совместимости этих продуктов.
У обоих продуктов KIS + Outpost есть Сетевой экран, но раз они у вас подружились и

Цитата Ljuboznatel:

Хотя здесь все работает без тормозов »

в таком случае нет смысла ничего перенастраивать . Хотя KIS2010 уже самодостаточен.