Viktoriya Опубликовано 22 февраля, 2008 Автор Жалоба Поделиться Опубликовано 22 февраля, 2008 Viktoriya: восстановление системы лучше отключить (пользы почти никакой) или удалить все точки восстановления и создать новую тут кратко об этом написано, firewall и все защитные программы (антивир тоже) надо было раньше отключать (и откл. от интернета на время вып-ия скриптов), C:\WINDOWS\mmhren1.exe всё ещё в автозагрузке присутствует. Спасибо. На время выполнения скриптов я восстановление системы, все антивирусы и файрвол отключаю. Не отключаю только интернет. При загрузке Винды этот самый ммхрен1 уже не спрашивается:D:) Так что Вам огромное спасибо:) Хозяйка компьютера приглашает Вас на чашечку чая в гости :bye1: Сейчас выполню скрипт Ссылка на комментарий Поделиться на другие сайты Поделиться
Viktoriya Опубликовано 22 февраля, 2008 Автор Жалоба Поделиться Опубликовано 22 февраля, 2008 Так, все провернула. От инета отключилась. Все защиты поотключала. Скрипт выполнила. Логи выкладываю hijackthis.zip virusinfo_syscheck.zip hijackthis.zip virusinfo_syscheck.zip Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 22 февраля, 2008 Жалоба Поделиться Опубликовано 22 февраля, 2008 Viktoriya: в логах чисто, можно ещё безопасность настроить >> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!>> Безопасность: разрешен автозапуск программ с CDROM>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)>> Безопасность: к ПК разрешен доступ анонимного пользователя>> Безопасность: Разрешена отправка приглашений удаленному помошнику что не нужно? если комп домашний и исп-ся одна уч. запись, можно отключить всё (и заоодно автозапуск со съемных носителей (и с флешек - защитит от авторанов) если согласны, выполните скрипт beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('SSDPSRV', 4);SetServiceStart('TermService', 4);SetServiceStart('RemoteRegistry', 4);end. для косметики ещё можно пофиксить в HJT R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157R1'>http://go.microsoft.com/fwlink/?LinkId=69157R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 Ну вот, теперь пора пить чай а потом ещё и чего покрепче :) несмотря на то, что скорее всего в разных городах живем :) Ссылка на комментарий Поделиться на другие сайты Поделиться
Viktoriya Опубликовано 23 февраля, 2008 Автор Жалоба Поделиться Опубликовано 23 февраля, 2008 что не нужно? если комп домашний и исп-ся одна уч. запись, можно отключить всё (и заоодно автозапуск со съемных носителей (и с флешек - защитит от авторанов) если согласны, выполните скрипт Комп рабочий. Подлючен по локальной сети еще к 3 компам. Поэтому я не знаю, что можно отключать:) Учетная запись одна. Ну вот, теперь пора пить чай а потом ещё и чего покрепче :) несмотря на то, что скорее всего в разных городах живем :) МЫ в Киеве :) Если Вы рядом- будем рады видеть:) Вы не представляете, как все рады, что у нас все успешно почистилось. Потому что можете представить шок начальницы, когда с утра комп идет на перезагрузку сам и не дает ничего сделать. Она уже попрощалась со всей информацией. Ссылка на комментарий Поделиться на другие сайты Поделиться
Pili Опубликовано 24 февраля, 2008 Жалоба Поделиться Опубликовано 24 февраля, 2008 Для рабочего компа с однйо учеткой можно выполнить такой скрипт beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('RemoteRegistry', 4);end. Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" и, для предотвращения заражения в будущем, следовать рекомендациям, описанным в этой книге. Не был в Киеве ни разу, но если буду, вспомню вас :blush2: Рад, что смог помочь. Чистого вам интернета! Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Для публикации сообщений создайте учётную запись или авторизуйтесь
Вы должны быть пользователем, чтобы оставить комментарий
Создать учетную запись
Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!
Регистрация нового пользователяВойти
Уже есть аккаунт? Войти в систему.
Войти