Лечим - КАЛЕЧИМ

Поселился вирус [COLOR=black][FONT='Courier New']ip6fw.sys. Не удалялся. Avast при работе в интернете время от времени проверял какую-то несуществующую почту, в это время ничего практически не мог качать! Полечил по правилам Вашего форума. Но после лечения произошло вот что. Система стала грузиться с тормозом, подключения к интернету пропали, копирование в окнах невозможно, восстановление системы (отключенное ранее) не включалось. Это немногое, что я заметил. Вот как лечилось: [COLOR=black][FONT=Verdana][URL="http://www.freedrweb.com/cureit/?lng=ru"][COLOR=#006699]Сureit[/COLOR][/URL] в безопасном ржиме обнаружил 17 вирусов, в т.ч. трояны, автоматически удалил их. Запустил 2 стандартных скрипта в AVZ и после перезагрузки (не помню после какой) и выскочил вышеописанный глюк. Логи снял прилагаю. Испугавшись за работу винды, проделал обновление поверх старой. Заработало вроде все. После этого просканировал Cureit вирусов не обнаружено. Посоветуйте, делать еще что-нибудь?[/FONT][/COLOR][/FONT][/COLOR]

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('smtpdrv');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\Ip6Fw.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\Flq38.sys','');
DeleteFile('C:\WINDOWS\system32\DRIVERS\smtpdrv.sys');
BC_DeleteSvc('smtpdrv');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...

Выполнил Ваш скрипт. В карантине было 2 папки вчерашняя за 16.12.2008 и сегодняшняя за 17.12.2008. В первой, которая была еще до выполнения скрипта были файлы. Их загрузил по приложению 3 правил. Вторая (сегодняшняя) пустая. ЗАМЕТьТЕ!!! Выслал подозрительные файлы, которые были в карантине до выполнения скрипта

выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Flq38');
SetServiceStart('Flq38', 4);
DeleteFile('C:\WINDOWS\system32\Drivers\Flq38.sys');
BC_DeleteSvc('Flq38');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите крантин согласно приложения 3 правил ...
повторите логи ..

после выполнения ВАШЕГО ВТОРОГО скрипта:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('Flq38');
SetServiceStart('Flq38', 4);
DeleteFile('C:\WINDOWS\system32\Drivers\Flq38.sys');
BC_DeleteSvc('Flq38');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
в карантине ничего не было. Сделал проверку по пунктам 7-13 правил. Вкладываю новые логи. После выполнения проверки (пункты 8,9,10 правил) в карантине появились файлы. Загрузил их Вам.

Больше ничего подозрительного нет,что из этого Вам нужно?
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему[/QUOTE]

Вообще не совсем понял что Вы имеете ввиду. Но по-моему мне здесь ничего не нужно, или все нужно?. Пользуюсь ноутом один.

локальная сеть есть ?

Отвечаю утвердительно - НЕТ!

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
RegKeyStrParamWrite('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','AutoAdminLogon', '0');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]

Спасибо. [URL="http://www.freedrweb.com/cureit/?lng=ru"]cureit[/URL] показывает один вирус closeapp.exe. Но я читал на форуме про эту утилиту Vista Transformation. Ее антивирус ошибочно считает вирусом. Просканировал в AVZ - показывает 2 подозрительных файла в карантине в том числе один системный system32/WatchPnp.exe подозрение на AdvWare.win32.BHO. Могу загрузить карантин. Но вроде я его уже загружал по Вашей просьбе с этими же файлами.

[QUOTE=maxim1176;175108][URL="http://www.freedrweb.com/cureit/?lng=ru"]cureit[/URL] показывает один вирус closeapp.exe. Но я читал на форуме про эту утилиту Vista Transformation. Ее антивирус ошибочно считает вирусом.[/QUOTE]
Как обзывает?

никак не обзывает

Тогда что значит "показывает"?

Пишет имя файла, место его расположения. Больше в этой табличке в графах пусто. А в конце после работы сканера пишет вирусы обнаружены. Вроде так по памяти. Не заморачивайтесьпо этому поводу. Про этот файл где то в нете написано. В новой версии Виста Трансформ эта утилита заменена другой, которая не распознается вирусом. В остальном КОМП ЗАРАБОТАЛ НОРМАЛЬНО. БОЛЬШОЕ СПАСИБО ХЭЛПЕРАМ!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]