Добрый день. Была запущена программа admin.exe из локалки. Изменены политики пользователя, т.е меня, запрещен редактор реестра, отключено автоматическое обновление (заблокировано), и главное измененена политика входа в Windows (winlogon) с последним вообще не знаю что делать. На вирусы проверела доктором Вебом, ничего не находит, кроме тех, что я знаю, мирка и т.п. Все равно он их заблокировал.
Помогите пожалуйста, вся информация в логах.

АВЗ- Мастер поиска и устранения проблем - выбрать все проблемы - устранить ....
выполните скрипт ...


begin
QuarantineFile('C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll','');
QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...
откуда такая любовь к старине .... ?
- Platform: Windows XP SP1 (WinNT 5.01.2600)
- кав 5 и базы у него наверно от 2005 ?

Вопрос довольно тривиальный: кто запустил эту программу admin.exe из локалки?
Пользователь или местный админ.

Карантин выслан, может не загрузился, не заметила что зашел без регистрации. Если надо, вышлю еще раз. Программа ONScreen от ноутбука.
Откуда любовь к старине? Ноут из шкафчика, нужен пока для интернета. Как раз занималась вопросом безопасности и обновления.
AVP со свеженькими базами, я ж не совсем...

Т.к дело было ночью, то явно не админ, а хакер.

AVP со свеженькими базами, я ж не совсем...
А Бластеру плевать, какие у антивируса базы и совсем или не совсем: Он себе как раз такие системы ищет:

Platform: Windows XP SP1 (WinNT 5.01.2600)
scnr.

А Бластеру плевать, какие у антивируса базы и совсем или не совсем: Он себе как раз такие системы ищет:

scnr.
Обновлю сейчас, надо ж наверно сначала исправить, то что уже сделано не так.

АВЗ- Мастер поиска и устранения проблем - выбрать все проблемы - устранить ....

и ставте обновления ... лучше сразу сп 3 ...

Не потянет ноут последний сервис-пак, и места нет. Поставлю пока отдельные после SP2. Поиск и устранение выполнила, но осталось заблокировано меню автоматическое обновление. Оно само отключено, но меню выбора должно ж работать. Или это я уже намудрила с отключениями разными.
И немножко глючи область уведомлений на панели задач, не сворачивается. Это как-нибудь теперь можно исправить? Отключение и включение обратно не помогает.

это (http://virusinfo.info/showpost.php?p=225116&postcount=22)
попробуйте сделать ....

Выполнила. Все равно не сворачиваются значки в трее.
Непонятно, но через час стало работать, т.е сворачиваться.

Все-таки я проверила, это меня понизили в правах. Заблокирована вкладка обновления Windows и брандмауэра интернета, я ими не пользуюсь, т.к стоит ZoneAlarm и обновления скачиваю вручную, но желательно восстановить.
Как мне это сделать правильно? Заходить под админом и исправлять политики? WinXP Home
И в журнале опять появляется запись
Отказ входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: мое имя (изменила я)
Домен:
Тип входа: 2
Процесс входа: Advapi
Пакет проверки: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Рабочая станция: ... (тоже изменила я)

Добавлено через 3 часа 10 минут

И еще вопрос, нужно ли разрешение в файрволле программе svhost, просит выхода и входа Generic Host Process Services for Win32, адрес входа и приема домен?

выполните скрипт ...


begin
ExecuteRepair(6);
ExecuteRepair(8);
ExecuteRepair(9);
ExecuteRepair(16);
ExecuteRepair(17);
RebootWindows(true);
end.

Спасибо, помогло. Но теперь нет центра безопасности в трее, по умолчанию в SP2 должен быть включен, также в моем компьютере появилась Вебпапка с одним значком MSN, очевидно оттуда и было вторжение. Пыталась удалить Messenger через удаление состава Windows, подправив файл Sysos.inf и удалив из него Hide, Виндоус выдала ошибку, что конфигурирование невозможно и компонент может неправильно работать.
Состав не показывается и получается что установлен, т.к 14 Мб не убираются, должно ж быть 0.
Что я сделала не так?

кто сказал что центр безопасности должен быть в трее ? даже если включен и все в порядке его не видно ...
ве папки появились из - за скрипта ( восстановлены умолчания )
легко убрать скриптом ...


begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policie s\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.

Теперь как мне быть? Еще раз проверять и высылать логи. Дело в том что есть внешний диск и настольный компьютер. Последний желательно проверить.
И с внешним тоже посмотреть. Чтобы мне не переносить заразу между ними.
Для компьютера новую тему надо создавать?
Интернет только здесь, на ноуте. Придется все переносить через внешний хард.
И что с карантином?

в карантине ничего подозрительного ...
для нового компьютера новая тема ...

А что означает запись в журнале: событие 540, вход NA\Анонимный пользователь:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x18667)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: Код GUID: {00000000-0000-0000-0000-000000000000}%
AVZ Никаких анонимных пользователей не находит, я отключала через реестр. Хочется быть спокойной, что никто опять не войдет вместо меня, т.к сейчас загрузила ноут, и выдало ограниченное подключение.
Все обновления безопасности поставлены, сейчас еще проверю на сайте Майкрософта.

дырка в NtLmSsp ... вам же говорят обновляйтесь ...

SP 3 ноут не потянет и элементарно нет места, все обновления безопасности установлены.
А это не то что у меня включена возможность входить в локальную сеть без учета трафика с подключенным интернетом? В том числе и анонимно на фтп.

SP 3 ноут не потянет и элементарно нет места
не может быть ....
для нормальной работы системы нужно 8-10 гигобайт свободного пространства ... сп 3 увеличмвает обем папки мегабайт на 300 ...


А это не то что у меня включена возможность входить в локальную сеть без учета трафика с подключенным интернетом? В том числе и анонимно на фтп.

вполне ...

Может. ;) На нем всего 60 гигов, и при установке с возможностью отката, я читала в инете больше гига получается, а также слетают драйвера, и еще проблемы разные, в том числе и невозможность войти в Винду. Да и нужен он мне только 1.5 месяца.
Раз может, отключу сервис Сервер, это ж вроде к нему относится, и посмотрим что получится. Всегда можно вернуть на место.
Спасибо за помощь.

Добавлено через 5 часов 58 минут

У меня еще один вопрос остался. Обновления все установила, в том числе и SP3, в журнале фиксируются две ошибки:
Службы IPSEC: Службам IPSEC не удалось инициализировать модуль IКE, код ошибки: Не удается найти указанный файл.
. Службы IPSEC не будут запущены.

Службы IPSEC: Службы IPSEC закрыты после серьезного сбоя, код ошибки: Подключение к сети было разорвано локальной системой.
. Остановка служб IPSEC может послужить потенциальной угрозой безопасности данных на компьютере. Чтобы перезапустить службы, обратитесь к системному администратору.
Службы данные не отключала, только удаленку, вторичные входы и все что относится к удаленной помощи. Планировщик тоже отключен. Т.е все что рекомендовано относительно служб AVZ я отключила.
Из-за чего может возникать такая ошибка? Комп домашний, vpn подключение к локалке.

пуск выполнить ...
net stop policyagent
net start policyagent

Еще один вопрос объявился. После фикса всех проблем (выбирала не все, но activeX) фиксила. :( и теперь есть некоторые проблемы с открытием страниц, в частности с яндекса, справа там реклама и по ссылкам там не переходит, открывает пустыми и Майкрософтсофтскими страницами, тоже долго грузили, т.к ACtiveX там. Может вернуть обратно и как? В настройках браузера у меня изначально было выставлено, что безопасные, подписанные и т.п, остальное отключено или предлагать.
И еще я не отключала автозапуск, только с сетевых выключила. Что вообще значит фраза в AVZ разрешен автозапуск в HDD? Мне б отключить только автозапуск со сторонних носителей, с внешнего HDD.

насчет фиксить activeX вы поторипились ....
луше конечно использовать браузер не использующий activeX ... например оперу ...
отключение автозапуска (http://virusinfo.info/showthread.php?t=16459)

Да я поняла что поторопилась, тем более настройки верные были. А вернуть обратно можно?
И еще вопрос, надо проверить чужой ноут, а доктор Веб, как выяснилось очень сильно грузит систему, он практически убил мне батарею, она и так уже старенькая, во время проверки использовалось очевидно все питание, гудело как бешеное.
Тот ноут достаточно новый и девушка останется без связи со страной, если что. Можно обойтись без Веба и провести проверку AVZ?
Был занесен вирус с флешки, AVP обнаружил и удалил. Но проверить надо.

насчет вернуть ... не понятно что было удалено .... нужные можно устанавливать походу ....
насчет веба ... подключите ноут к розетке и проверяйтесь ...

Вот теперь после обновлений возникла серьезная проблема. Перестал работать нормально USB Controller. Невозможно подсоединить устройства, т.е не хватает питания. Что-нибудь можно сделать?

переустановите драйвера USB

Где взять. Просто из Виндоуз, обновить драйвер? На прилагающемся диске нет драйверов, только под чипсет, видео-аудио и программы.

только под чипсет,
вот- вот ...

Переустановила, не помогает.

Перестал работать нормально USB Controller. Невозможно подсоединить устройства, т.е не хватает питания
это как ? поподробнее ...

Выдает в трее что нехватка электропитания порта концентратора: USB устройство превысило ограничение по питанию для его порта концентратора и работает неправильно, отключите это устройство. USB Root Hub (6 портов) и под ним неизвестное устройство. Могу скрин дать.
Во вкладке оборудования все нормально. Но внешний хард гудит. Сломать его не хочется. И раньше-то работало все. Вот после обновлений и отключений и перестало.

варианта два либо действительно слабое питание ...
либо раньше все это счасть работало как USB1.1 ( т.е потребляло меньше , но работало медленее )
на хабе должна быть возможность подключения доп питания ... видимо стоит попробовать ...

Мне вообще-то непонятно откуда у меня такое появилось. В устройствах вроде бы и нет. Внешнего хаба точно нет. Это мне обычный порт USB выдает. И соответственно к нему питания дополнительного нет. Только если купить Хаб с питанием. Вопрос в том, а вообще-то этот порт работает? Судя по всему неправильно.

- с ваших слов я подумал что проблемы с внешним хабом ... ссори ...
попробуйте подключить обычную флешку ... будет работать ?
проблема наблюдается во всех разъемах (может просто плохой контакт ) ?

Флешки у меня нет. Подключала в оба порта. По отдельности естественно. Есть еще только от мыши, в него не пробовала, но там питания ж меньше.
Контакты тоже проверяла. В настольном компьютере все нормально работает.
Попробовала с телефоном, он работает, табличку эту не выдал..
Еще будут какие предположения? Посмотрела, ему требуется 2А, порт к которому подключается, в диспетчере отображается как хаб на 6 портов, и по питанию на каждый по 500мА, должно ж хватать.

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 8
В ходе лечения вредоносные программы в карантинах не обнаружены