комп заблокирован

[drongo]

Помогите вашему интеллекту ещё немного Скачать последнею версию AVZ , обновить её базы и только потом заниматься исполнением логов.

[Bratez]

... предварительно пофиксите в HijackThis:

Код:

F2 - REG:system.ini: Shell=C:\WINDOWS\system32\drivers\winlogon.exe
O2 - BHO: Ofb1 - {3E1500AC-87A5-416b-A211-82E848649DA9} - (no file)
O4 - HKLM\..\Run: [systemsrvload] C:\WINDOWS\system32\drivers\winlogon.exe

[ozzik]

Пофиксил и о чудо, всё заработало!!!

[ozzik]

Меня погубят скринсеверы! Остались ещё такие же и от туда же, их снести или они чистые??? Когда можно включить востановление системы?

[Bratez]

Вы уверены, что они остались?

Код:

Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\HotGirls.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\HotGirls.exe >>>>> AdvWare.Win32.BHO.ee  успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\Rain.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\Rain.exe >>>>> AdvWare.Win32.BHO.ee  успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\waterfalls.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\waterfalls.exe >>>>> AdvWare.Win32.BHO.ee  успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\Bikini02.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\Bikini02.exe >>>>> AdvWare.Win32.BHO.ee  успешно удален
Файл успешно помещен в карантин (C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\snowfalling.exe)
C:\Documents and Settings\OperZ\Рабочий стол\ScrenSaver\не пробовал\snowfalling.exe >>>>> AdvWare.Win32.BHO.ee  успешно удален

Добавлено через 2 минуты

В логах чисто, только еще вот это посмотрите:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Что нужно - скажите, остальное исправим.

[ozzik]

Те 5 что обнаружили - удалиллись. Остались в той же папке другие, но с того же сайта скачаные.(удалю от греха) А второе как мне это посмотреть? Когда можно включить востановление системы?

[Bratez]

А второе как мне это посмотреть?

Просто скажите, что из приведенного списка вы реально используете.
А мы сделаем скрипт для отключения остального.

Восстановление уже можно включать.

[ozzik]

Оба-на! Это самый сложный вопрос для меня в этой теме или мой мозг уже лопнул! Я не знаю. Может что то посоветуете оптимальное? P.S.а колобка этого удалить или можно теперь использовать по назначению?

[Bratez]

Может что то посоветуете оптимальное?

Если нет локальной сети, можно закрыть все, ну разве что автозапуск CD оставить, если к нему привыкли. При наличии локалки с доступом к файлам оставить доступ анонимного пользователя. Если используете быстрое переключение пользователей, надо оставить службу терминалов.
Колобка отправьте на анализ по адресу [email protected] и ждите ответа.
Иначе рискуете снова попасть на все эти танцы с бубном

[ozzik]

Автозапуск СД оставить. Быстрое переключение пользователей не нужен. Инет у меня через локалку. "доступ анонимного пользователя" - это аноним у меня в файлах рыться будет?

[Bratez]

это аноним у меня в файлах рыться будет?

Кхм... правильнее сказать - "сейчас роется"
На самом деле это значит, что если вы откроете общий доступ к какой-то папке, то этот доступ получат все пользователи сети. Если отключить анонима, то вам придется поименно указать каждого, кому разрешен доступ.
Вот скрипт, CD и анонима оставил:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[ozzik]

Bratez - Super Bratez!!!

[ozzik]

Час назад получил ответ: <<Здравствуйте. В присланном Вами файле не найдено ничего вредоносного. С уважением, Юрий Вирусный аналитик ЗАО "Лаборатория Касперского".>> Так вроде и антивирус в больном компе ничего не находил. Я им послал *ехе установочного файла. Может эта бяка вылезла когда я запустил *ехе и сейчас он чист!? Мне по фиг этот *ехе, я его удалю. Меня интересует могу ли я играть игру или готовить 200р и занимать очередь к терминалу оплаты???

[anton_dr]

Ну теперь вы знаете, как бороться с ним, можно попробовать, произойдет что-либо или нет

Добавлено через 48 секунд

Но перед этим лучше сделать образ диска, с помощью того же Акрониса.

[ozzik]

Какая имено программа Акронис? А то у меня глазки разбежались от их количества. Может в закромах ссылочка завалялась?