Помогите!

**V_Bond** · 28.10.2007, 22:36

все удалили .... кроме мусора в реестре ....
пункт пофиксить вы не выполняли ?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Raisa** · 28.10.2007, 23:26

Пофиксила, сделать логи опять?

**V_Bond** · 28.10.2007, 23:27

достаточно HijackThis ...

**Raisa** · 28.10.2007, 23:36

Вкладываю

**V_Bond** · 28.10.2007, 23:44

никаких изменений ... как будто ничего и не фиксили ...

**Raisa** · 29.10.2007, 00:06

Снова пофиксила, повторила

**Raisa** · 29.10.2007, 13:39

Что делать дальше?

Добавлено через 3 часа 35 минут

Все уже нормально с компом?
Удалено все не нужное или нет?

**zerocorporated** · 29.10.2007, 14:13

1.Пофиксить в hijackthis:

Код:

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O20 - Winlogon Notify: АР - АР (file missing)
O20 - Winlogon Notify: instcat - C:\WINDOWS\
O20 - Winlogon Notify: x 0 - x 0 (file missing)

2.Что из этого нужно?

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

Что не нужно уберём.

**Raisa** · 29.10.2007, 15:43

У меня домашний ПК, есть локальная сеть.
Удаленный реестр, Планировщик заданий, NetMeeting Remote Desktop Sharing,
Диспетчер сеанса справки для удаленного рабочего стола - мне не нужны.
Запретить к ПК доступ анонимного пользователя.
А остальные службы я не знаю должны быть или нет.

Добавлено через 2 минуты

Служба обнаружения SSDP - тоже не нужна.

Добавлено через 4 минуты

Службы терминалов - прочитала на Microsoft, тоже не нужна.

**Bratez** · 29.10.2007, 15:54

Вот скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Если в локалке используете общий доступ к файлам и принтерам, то анонима отключать не надо. В этом случае уберите из скрипта первую строчку после begin.

**Raisa** · 29.10.2007, 16:14

Убрала первую строчку.
Скрипт выполнился без ошибок, перезагрузился.

**Bratez** · 29.10.2007, 16:17

Теперь по идее всё.
Если больше жалоб нет, готовьте документы на выписку

.
(логи, начиная с п.10 правил

)

**Raisa** · 29.10.2007, 18:27

Логи сделала.
Даже не верится, что удалены все вирусы.
Комп начал работать на много лучше.

**Bratez** · 29.10.2007, 18:46

Нда, фиксить вы так и не научились.
Надо так:
1. Запускаем HijackThis и нажимает Do a system scan only
2. Находим и отмечаем галочками в квадратиках указанные строчки.
3. Нажимаем кнопку Fix Checked.

Попробуйте. Строчки все те же:

Код:

O3 - Toolbar: (no name) - {0BF43445-2F28-4351-9252-17FE6E806AA0} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: АР - АР (file missing)
O20 - Winlogon Notify: instcat - C:\WINDOWS\
O20 - Winlogon Notify: x 0 - x 0 (file missing)

............................
Больше ничего плохого нет.

**Raisa** · 29.10.2007, 19:00

Сделала, как написали.
Я писала, что не знаю как сделать. Теперь уже знаю.

Добавлено через 3 минуты

В HijackThis появилась папка. Что с ней делать?

**Bratez** · 29.10.2007, 19:03

Папка backup? Это информация для возможности отката. В данном случае она не понадобится. Можно удалить.

**Raisa** · 29.10.2007, 21:21

Все? Будете закрывать тему?

Добавлено через 2 часа 5 минут

Спасибо, за то, что помогли удалить вирусы,
за то, что Вы внимательно выслушивали, не всегда коректные вопросы.
Я очень благодарна за помощь которую Вы оказали.
Большое спасибо.

**Bratez** · 30.10.2007, 02:29

Если что - заходите еще

**Raisa** · 30.10.2007, 14:15

Спасибо. Лучше Вы к нам.

**CyberHelper** · 22.02.2009, 02:43

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 3
В ходе лечения обнаружены вредоносные программы:
1. c:\\windows\\system32\\advapi3.dll - Trojan-Downloader.Win32.Agent.elt (DrWEB: Trojan.Sentinel)

Помогите! (заявка № 13498)

Опции темы

HijackThis

HijackThis

Итог лечения

Похожие темы

Ваши права в разделе