помогите спастись от троянов, бэкдоров и прочей ереси

[Ganj]

не знаю хорошо ли это или плохо, но в HijackThis нет такой строчки. Делать логи без пункта 2?

[V_Bond]

что нет - это хорошо ...

[rubin]

Строчки нет, хорошо Значит AVZ сам уже почистил...

[Ganj]

и TrafInspAg_Tollbar.dll не видать тоже... сейчас сделаю логи. я близок к выздоровлению?!

[rubin]

Ждем логов...

[Ganj]

логи...

[V_Bond]

в логах чисто .... осталось пофиксить ...

Код:

O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - H:\WINDOWS\system32\TrafInspAg_Tollbar.dll (file missing)

и разобраться с этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[Ganj]

подскажите, пожалуйста, как по запрещать эти опасные службы. Кроме "автозапуск программ с CDROM" эти службы мне ни про что не говорят, так что, думаю, проживу и без них

в целом же, всем вам ОГРОМНОЕ СПАСИБО за помощь. вы - профи!!! дальнейших вам успехов в вашем нелегком деле, ну а уж мы работку вам подкинем!

[V_Bond]

закрываем потенциальные уязвимости ...
выполните скрипт ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[rubin]

А скрипт уже сделали
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. h:\\windows\\system32\\drivers\\runtime2.sys - Rootkit.Win32.Agent.jp (DrWEB: Trojan.NtRootKit.422)
  2. h:\\windows\\temp\\startdrv.exe - Trojan-Spy.Win32.KeyLogger.rp (DrWEB: BackDoor.Bulknet)