Чистка ПК после "зверей"

[Holymen]

и AMVO и ещё какие-то трояны были...Symantec вроде всё вылечил...
Было также "неизвестное устройство", железа или программы соответствующих ему - не было...

[Bratez]

Отключите восстановление системы!
Пофиксите в HijackThis:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)

Что за странная стартовая страница? -
httр://10.87.30.15:8088/full2.html?s=01.2.2008&&e=01.2.2008
Если не знаете, пофиксите также:

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://10.87.30.15:8088/full2.html?s=01.2.2008&&e=01.2.2008

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\admin\Шаблоны\Brengkolang.com','');
 DeleteFile('C:\Documents and Settings\admin\Шаблоны\Brengkolang.com');
 DeleteFile('C:\WINDOWS\Tasks\At1.job');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=18257).

Рекомендуется отключить все что вам не нужно из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК

Сделайте новые логи, начиная с п.10 правил.

[Holymen]

сделал...
адрес 10.87.30.15 - знаком, всё ок.
После выполнения скрипта и перезагрузки Ad-Aware обнаружил попытку модификации реестра (рег.JPG - "Миниатюры") - это нормально, применять эти изменения?

[V_Bond]

это нормально авз правит реестр - адваре мешает - весьма бесполезная вешица ...
деинсталируйте ... у вас есть приличный антивирус ...
в логах больше ничего зловредного ....

[Holymen]

это нормально авз правит реестр - адваре мешает - весьма бесполезная вешица ...
деинсталируйте ... у вас есть приличный антивирус ...
в логах больше ничего зловредного ....

Мне нравится AdWare тем, что моментально показывает если что-то пытается реестр править...ато ведь я и не узнаю кто... и что там происходит...

Нужно ли выполнить вышеприведённый скрипт и принять все изменения в реестре после перезагрузки (ато многие из них я отклонил...)

[V_Bond]

если вас устраивает что у вас не отображаются скрытые файлы , нет прав администратора .... можете не выполнять ...

[Holymen]

А где вот это отключить:
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
???

[V_Bond]

остальное вы я так понимаю отключили ...
тогда скриптом ...

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fDenyTSConnections', 1);
RebootWindows(true);
end.