Подозрение на вирус.

[0ld]

Подозрение на вирус.

ОС вчера переустановил, точнее другую поставил такую же XP sp2, с удалением данных за 1 проход, не помогло, возможно вирус цепляю с DWD+RW на котором храню дистрибутивы, хотя тоже проверял его др. вебом и авастом.

svchost.exe ведёт себя подозрительно, хотя лишних не появилось и этот лежит на месте в system32, иногда замечаю странные звуки, еле слышные, как буд- то тапками кто- то шоркает, иногда интернет отрубается, при запуске всегда появляются 2 ошибки 10049, avast не может защитить 1) входящую, 2) исходящую почту, проверить не заблокирован ли почтовый сканер ashMaiSv.exe, хотя ashMaiSv.exe у меня добавлен в разрешённые приложения.

При выполнении правил не мог отключить Аваст, в автозагрузке все отключал но он появлялся, я его приостановил, а после выполнения правил наооборот, сколько галочку в автозагрузке не ставлю, после перезагрузки она пропадает и в трее его нет, а ещё хуже, ужас, теперь файлы не могу прикрепить, не на один хостинг не могу залить, когда обновляется страничка то больше не отображается. Пробовал по другому выложить, открывал все файлы блокнотом и копировал в

максимально допустимая длина символов зашкаливает, если по частям, то у меня постов будет больше чем у вас

Очень надеюсь на вашу помощь

[шпилька]

Если подозрение на вирус, то почитай здесь:

http://www.softboard.ru/index.php?showtopic=51343

Скачай CureIt, проверься им. :D

Изменено 4 февраля, 2009 пользователем шпилька

[Pili]

svchost.exe ведёт себя подозрительно, хотя лишних не появилось и этот лежит на месте в system32, иногда замечаю странные звуки, еле слышные, как буд- то тапками кто- то шоркает, иногда интернет отрубается, при запуске всегда появляются

Похоже вы заразились червем kido, переустановка и

если вы сразу после установки windows включите брандмауэр, отключите автозапуск со съемных носителей, установите антивирус, обновите базы, установите обновления windows и грамотно настроите безопасность (см. Сетевая безопасность и Полезная информация)

Форматирование помогло бы, если бы вы выполнили сразу то, что вам рекомендовали (вкл. брандмауэр, отключить автозапуск, установлили все обновления и пр.)

и этот лежит на месте в system32

Этот что? Файл? Какой?

Делайте логи и доп. лог gmer и combofix

Скачайте Gmer, запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку "Scan". После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска.

После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.

Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)

[0ld]

Либо я не правильно обьясняю, либо вы не внимательно читаете

При выполнении правил...после выполнения правил...теперь файлы не могу прикрепить

т.е. я выполнил пункты 1- 8 и в результате лишился возможности выполнить пункт 9- прикрепить полученные логи

что касаемо ОС, у меня 4 мультизагрузочных диска купленых в разных магазинах, все они XP Professional SP2, в некоторые уже интегрированы обновления, все пиратки и обновляя их я могу подхватить валидатор и через месяц у меня просто фига на весь экран вылезет. Позже я создам тему по XP и там буду задавать все вопросы связанные с проблемами по использованию лицензионной версии, которых я не нашёл в уже созданных темах по ХР.

Pili, спасибо за советы и предложенные программы, я обязательно ими воспользуюсь, но после того как мне удастся найти способ выполнить пункт 9 согласно правил и рассчитываю на ответ что лишает меня прикрепить файлы после выполнения пунктов 1-8

[WNUK]

способ выполнить пункт 9

логи 0ld'a

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

log.txt

info.txt

[akoK]

хм. Ничего интересного не вижу.

Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

скачайте Gmer. Запустите программу. После автоматической экспресс-проверки, отметьте галочкой все жесткие диски и нажмите на кнопку Scan. После окончания проверки сохраните его

[Pili]

0ld: вы не ответили на вопрос

и этот лежит на месте в system32

Этот что? Файл? Какой?

Где логи gmer и combofix?

[WNUK]

akoK

вот логи 0ld'a

gmer.log

mbam_log_2009_02_04__22_47_34_.txt

gmer.log

mbam_log_2009_02_04__22_47_34_.txt

[0ld]

klcodec425f я установил недавно, т.е. я бы хотел найти другое, поэтому опишу первопричину.

чел который собирал мне компьютер и немного учил меня им пользоваться, т.к. у меня образование 4 класа (1946-1950г) напихал мне вредоносного ПО и я рассылал его спам сам того не ведая. Когда стал немного разбираться много чего выгреб просмотрев что он добавил в исключение проверки антивируса. но ещё долго он имел удалённый доступ к моему компьютеру, из- за чего были постоянные проблемы. к тому времени как я научился делать удаление данных и переустановку ОС он закончил два института. Думаю что он использует меня для тестирования написаных им вирусов, пологаясь на то что не пойман не вор. Найденый вирус не его.

Как всё происходит: производится постоянное сканирование портов, то что я писал про странные звуки, только ввёл в заблуждение, бывали и другие звуки не такие еле слышные а громкий звук критической ошибки, всегда всё по разному происходит. Я часто делаю удаление данных и переустановку ОС, поводом для этого служит то что когда я в очередной раз захожу на ящик мне говорится что я не автаризован и предлагается ввести логин, пароль, это означает что если я это выполню то либо останусь без ящика, либо без аккаунтов на сайтах и играх в которых буду регистрироваться

[akoK]

Аналогично. Давайте выполним рекомендации Pili

И подготовим логи логи combofix? (пост №3)

[0ld]

akoK, логи по рекомендации Pili смогу выложить только завтра, т.к. внук лёг спать, у нас час ночи

Pili, на Ваш вопрос:

Этот что? Файл? Какой?

ответ:

svchost.exe ведёт себя подозрительно, хотя лишних не появилось и этот лежит на месте в system32

на Ваш вопрос:

Где логи gmer и combofix?

ответ:

Pili, спасибо за советы и предложенные программы, я обязательно ими воспользуюсь, но после того как мне удастся найти способ выполнить пункт 9 согласно правил

Спасибо, займусь этим прямо сейчас, но логи смогу выложить только завтра

[Pili]

svchost.exe ведёт себя подозрительно, хотя лишних не появилось и этот лежит на месте в system32

svchost.exe - легитимный файл, прошел по базе безопасных AVZ, по представленным выше логам ничего плохого нет, по логам AVZ не видно никакой аномальной сетевой активности, посмотрим ещё логи combofix... сомневаюсь что что-то найдется.

Если обновления

MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx)

MS08-068 (http://www.microsoft.com/technet/security/...n/ms08-068.mspx)

MS09-001 (http://www.microsoft.com/technet/security/...n/ms09-001.mspx)

Не установлены - установите, а заодно рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключениях общий доступ к файлам и принтерам), дополнительно воспользоваться утилитой wwdc, описание есть здесь

Если знаете как отключить порты netbois с помощью comodo firewall (он у вас установлен), то можете отключить в нем, но насколько я помню comodo 3, в отличии от comodo 2, не защищает от сетевых атак во время загрузки ОС и во время выключения компьютера (когда сomodo ещё не загружен или уже выгружен)

8. Поиск потенциальных уязвимостей

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

>> Безопасность: разрешен автозапуск программ с CDROM

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Рекомендую отключить неиспользуемые службы.

Предлагаю отключить

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)

>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)

>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)

и запретить административный доступ к локальным дискам (C$, D$ ...)

Если согласны, запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, нажмите кнопку «Запустить».

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);SetServiceStart('RDSessMgr', 4);SetServiceStart('mnmsrvc', 4);SetServiceStart('Schedule', 4);SetServiceStart('RemoteRegistry', 4);end.

Проверьте, появляется ли после проделанных действий проблема.

Изменено 4 февраля, 2009 пользователем Pili

[0ld]

Не уверен что всё сделал правилно:

сохранить ComboFix.exe на рабочий стол, не знаю обязательное ли это условие, но у меня правило не чего не хранить на диске С кроме ОС, всё сохраняю в Е:\Папка, а все проги устанавливаю в D:\Папка, за исключением тех в которых не могу изменить путь при условии что они лицензионные.

Инструкцию на английском перевести не смог, делал на авось, по ходу выполнения мне предлагалось, если я правильно понял отключить антивирус и фаервол, фаервол отключил, а Аваст не могу

При выполнении правил не мог отключить Аваст, в автозагрузке все отключал но он появлялся, я его приостановил, а после выполнения правил наооборот, сколько галочку в автозагрузке не ставлю, после перезагрузки она пропадает и в трее его нет

Как бы это исправить?

ComboFix.txt:

ComboFix 09-02-03.01 - OLD 2009-02-05  2:28:57.1 - NTFSx86Microsoft Windows XP Professional  5.1.2600.2.1251.1.1049.18.2047.1581 [GMT 10:00]Running from: d:\program files\ComboFix\ComboFix.exeAV: avast! antivirus 4.8.1296 [VPS 090203-1] *On-access scanning enabled* (Updated)FW: COMODO Firewall Pro *disabled** Created a new restore pointWARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!.(((((((((((((((((((((((((   Files Created from 2009-01-04 to 2009-02-04  ))))))))))))))))))))))))))))))).2009-02-05 00:09 . 2009-02-05 00:09	<DIR>	d--------	c:\documents and settings\OLD\Application Data\Mra2009-02-04 22:55 . 2009-02-04 22:57	250	--a------	c:\windows\gmer.ini2009-02-04 22:31 . 2009-02-04 22:31	<DIR>	d--------	c:\documents and settings\OLD\Application Data\Malwarebytes2009-02-04 22:31 . 2009-02-04 22:31	<DIR>	d--------	c:\documents and settings\All Users\Application Data\Malwarebytes2009-02-04 22:31 . 2009-01-14 16:11	38,496	--a------	c:\windows\system32\drivers\mbamswissarmy.sys2009-02-04 22:31 . 2009-01-14 16:11	15,504	--a------	c:\windows\system32\drivers\mbam.sys2009-02-04 21:24 . 2009-02-04 21:24	<DIR>	d--------	c:\program files\Mail.Ru2009-02-04 21:24 . 2009-02-04 21:40	<DIR>	d--------	c:\documents and settings\OLD\Application Data\Mail.Ru2009-02-04 04:38 . 2009-02-04 07:21	754	--a------	c:\windows\WORDPAD.INI2009-02-03 11:23 . 2009-02-03 11:23	<DIR>	d--------	c:\documents and settings\OLD\DoctorWeb2009-02-03 11:00 . 2004-08-18 01:49	58,112	--a------	c:\windows\system32\drivers\redbook.sys2009-02-03 11:00 . 2001-08-18 07:46	6,400	--a------	c:\windows\system32\drivers\enum1394.sys2009-02-03 11:00 . 2001-08-18 07:59	3,072	--a------	c:\windows\system32\drivers\audstub.sys2009-02-03 02:40 . 2009-02-03 02:40	<DIR>	d--------	c:\documents and settings\OLD\Application Data\Comodo2009-02-03 02:00 . 2009-02-03 02:00	<DIR>	d--------	c:\documents and settings\OLD\Application Data\ATI.((((((((((((((((((((((((((((((((((((((((   Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))).2009-02-03 09:14	---------	d-----w	c:\program files\X-Translator DIAMOND2009-02-02 16:40	---------	d-----w	c:\documents and settings\All Users\Application Data\Comodo2009-02-02 15:58	---------	d-----w	c:\program files\Common Files\InstallShield2009-02-02 15:58	---------	d-----w	c:\program files\ATI Technologies2009-02-02 15:57	---------	d--h--w	c:\program files\InstallShield Installation Information2009-02-02 15:47	---------	d-----w	c:\program files\Realtek Sound Manager2009-02-02 15:47	---------	d-----w	c:\program files\AvRack2009-02-02 15:47	---------	d-----w	c:\program files\AMD2009-02-02 15:46	4,096	----a-w	c:\windows\gdrv.sys2009-02-02 15:13	---------	d-----w	c:\program files\microsoft frontpage2008-04-07 09:38	67,696	----a-w	c:\program files\mozilla firefox\components\jar50.dll2008-04-07 09:38	54,376	----a-w	c:\program files\mozilla firefox\components\jsd3250.dll2008-04-07 09:38	34,952	----a-w	c:\program files\mozilla firefox\components\myspell.dll2008-04-07 09:38	46,720	----a-w	c:\program files\mozilla firefox\components\spellchk.dll2008-04-07 09:38	172,144	----a-w	c:\program files\mozilla firefox\components\xpinstal.dll.------- Sigcheck -------2004-09-17 22:16  503808  a975a70fcefe2a224412214320c89ded	c:\windows\system32\winlogon.exe.(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))..*Note* empty entries & legit default entries are not shown REGEDIT4[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-17 15360][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]"NVRaidService"="c:\windows\system32\nvraidservice.exe" [2005-01-17 84480]"COMODO Firewall Pro"="d:\program files\Comodo\Firewall\CPF.exe" [2009-02-03 1115728]"ATIPTA"="c:\program files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-03-29 339968]"ATICCC"="c:\program files\ATI Technologies\ATI.ACE\cli.exe" [2005-03-30 32768]"SoundMan"="SOUNDMAN.EXE" [2004-12-22 c:\windows\SOUNDMAN.EXE][HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-17 15360]c:\documents and settings\All Users\ѓ« ў­®Ґ ¬Ґ­о\Џа®Ја ¬¬л\Ђўв®§ Јаг§Є \Џ ­Ґ«м § ¤ з ATI CATALYST.lnk - c:\program files\ATI Technologies\ATI.ACE\CLI.exe [2005-03-30 32768][HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]--a------ 2008-11-27 03:18 81000 d:\progra~1\ALWILS~1\Avast4\ashDisp.exe[HKEY_LOCAL_MACHINE\software\microsoft\security center]"UpdatesDisableNotify"=dword:00000001[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]"EnableFirewall"= 0 (0x0)[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]"%windir%\\system32\\sessmgr.exe"=R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-02-03 111184]R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-02-03 20560]..------- Supplementary Scan -------.uStart Page = about:blankIE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE574} - c:\program files\X-Translator DIAMOND\PROMTIE4\promtie5.htmIE: {{7A2EFD41-E6B3-11D2-89E3-00E0292EE575} - c:\program files\X-Translator DIAMOND\PROMTIE4\options.htmFF - ProfilePath - c:\documents and settings\OLD\Application Data\Mozilla\Firefox\Profiles\8qqw2kn8.default\FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll.**************************************************************************catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.netRootkit scan 2009-02-05 02:29:48Windows 5.1.2600 Service Pack 2 NTFSscanning hidden processes ...  scanning hidden autostart entries ... scanning hidden files ...  scan completed successfullyhidden files: 0**************************************************************************.--------------------- DLLs Loaded Under Running Processes ---------------------- - - - - - - > 'winlogon.exe'(684)c:\windows\system32\Ati2evxx.dll.Completion time: 2009-02-05  2:30:33ComboFix-quarantined-files.txt  2009-02-04 16:30:31Pre-Run: 14 977 687 552 байт свободноPost-Run: 15,000,608,768 байт свободно103

Есть ещё вопрос который забывал задать раньше:

в C:\Documents and Settings\мой профиль\Local Settings\temp все файлы должны удаляться?

1) Обнаружил файл ~DFE3C3.tmp, не удаляется

2) удалил в безопасном режиме

3) после обычной загрузки образовался ~DF821.tmp, не удаляется

4) повторно удалил в безопасном режиме

5) после обычной загрузки образовался ~DF2505.tmp

Что это за странный файл ~DF.tmp?

[Pili]

По логам ничего плохого не вижу, сигнатура файла

c:\windows\system32\winlogon.exe

не сошлась с оригинальной, но это вероятно вы используете сборку (не офиц. лиц. windows)

Можете проверить winlogon.exe на virustotal.com

C:\Documents and Settings\мой профиль\Local Settings\temp все файлы должны удаляться?

Да, можно удалять, там обычно не хранится ничего нужного, то что не удаляется из временных файлов - используется системой (или программами) в текущий момент, например word используtт эту папку.

Очистить можно ещё так:

Пуск-Программы-Стандартные-Служебные-Очистка диска и/или с помощью ATF Cleaner

- скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected.

- если вы используете Firefox, нажмите Firefox - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

- если вы используете Opera, нажмите Opera - Select All - Empty Selected

- нажмите No, если вы хотите оставить ваши сохраненные пароли

Деинсталлируйте ComboFix: нажмите пуск – выполнить - Combofix /u

Скачайте OTCleanIt, запустите, нажмите CleanUp!

Если рекомендации поста 12 выполнили

Проверьте, появляется ли после проделанных действий проблема.

[0ld]

Pili, вопросы по #12 посту.

1) не могу найти ссылки на скачивание обновлений MS08-067, MS08-068, MS09-001

к примеру захожу MS08-067 (http://www.microsoft.com/technet/security/...n/ms08-067.mspx), в таблице для для моей ОС (да и для других ОС) нет MS08-067 а только MS06-040, всю страницу на русский перевожу переводчиком, очень большой обьём информации, на чтение уходит много времени и не могу найти хоть что- то чтоб указывало как скачать.

2) не могу отключить службы которые вы рекомкндуете отключить, захожу через панель управления Администрирование > Службы, перечисленных Вами служб нет, наверное не там ищу, подскажите где.

3) утилитой wwdc 445 порт отключил, а 139 порт не отключается, научите пожалуйста отключать в ручную, погуглил, пишут что того же самого можно добится просто сняв галку "Служба доступа к файлам и принтерам сетей Микрософт" в своем сет. подключении, так и сделал, но в утилите wwdc 139 порт отображается попрежнему.

Предложенный Вами скрипт выполнять не стал, т.к. в Ваших постах #12 и #14 Вы писали:

Проверьте, появляется ли после проделанных действий проблема.

Напомню что после проделанных действий в посту #1 появилось две проблемы, очень прошу давайте сначала решим их, 1) после проделанных действий лишился возможности прикреплять файлы (логи) и не на один хостинг не могу заливать, после обновления страницы она перестаёт отображаться и на других вкладках тоже странички после обновления не отображаются. 2) после проделанных действий проблема с Авастом, сколько галочку в автозагрузке не ставлю, после перезагрузки она пропадает и в трее его нет, т.е. я не смогу его отключить и мы не сможем выполнить предложенные Вами действия в постах #12 и #14 согласно правил.

Я сейчас скачиваю WindowsXP SP3, не как не успеваю его скачать из- за частого отключения интернета, всё же надеюсь что скачаю.

[Pili]

По логу у вас

Microsoft Windows XP Professional Service Pack 2

я выше писал

а заодно рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com

Если обновления с windowsupdate установите, то ничего вручную ставить не надо будет.

всю страницу на русский перевожу переводчиком, очень большой обьём информации, на чтение уходит много времени

Если вручную будете ставить, на странице http://www.microsoft.com/technet/security/...n/ms08-067.mspx выбираете Windows XP Service Pack 3 (подразумеватеся, что рекомендацию выше выполнили), если оставили SP2 - выбираете Windows XP Service Pack 2, на странице выбираете Change Language: Russian - скачиваете и устанавливаете.

MS06-040 - это ранее выпущенный бюллетень, на стр. http://www.microsoft.com/technet/security/...n/ms08-067.mspx наверху ясно написано - Microsoft Security Bulletin MS08-067 – Critical

2) не могу отключить службы которые вы рекомкндуете отключить, захожу через панель управления Администрирование > Службы, перечисленных Вами служб нет, наверное не там ищу, подскажите где.

Названия служб - в посте 12, например

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)

Можете выполнить скрипт для отключения служб, если согласны с предложенным выше в посте 12

3) утилитой wwdc 445 порт отключил, а 139 порт не отключается, научите пожалуйста отключать в ручную, погуглил, пишут что того же самого можно добится просто сняв галку "Служба доступа к файлам и принтерам сетей Микрософт" в своем сет. подключении, так и сделал, но в утилите wwdc 139 порт отображается попрежнему.

В свойствах TCP/IP - дополнительно - WINS - Отключите Netbios через TCP/IP и уберите галочку около LmHosts

По вопросу

Проверьте, появляется ли после проделанных действий проблема.

имелась ввиду проблема, о которой вы писали ранее

иногда замечаю странные звуки, еле слышные, как буд- то тапками кто- то шоркает, иногда интернет отрубается, при запуске всегда появляются 2 ошибки 10049

Напомню что после проделанных действий в посту #1 появилось две проблемы

Непонятно что вы там делали с Avast и зачем всё убирали из автозагрузки, по правилам оформления запроса можно было только временно выключать антивирус и фаервол (в вашем случае comodo), как отключать Avast я вам писал раньше в теме Заражение системы (неизвестный вирус, попробуйте удалить Avast и заново установить или установить другой антивирус, например Avira, возможно то же самое придется сделать с comodo, попробуйте использовать браузер Opera или Firefox c плагином NoScript

Изменено 5 февраля, 2009 пользователем Pili

[0ld]

Pili, спасибо большое за советы, завидую вашему терпению, когда вы выделили жирным шрифтом Удаленный реестр в Вашей цитате, до меня дошло что бессмысленно искать по английским именам службы которые вы рекомендовали отключить и служба RemoteRegistry у меня так и называется- Удаленный реестр )))

Иногда я сбиваю Вас с толку:

Непонятно что вы там делали с Avast и зачем всё убирали из автозагрузки

я всё убирал из автозагрузки, потому- что вычитал в какой- то из подобных тем рекомендацию: отключить все программы и выгрузить всё из трее и это отложилось у меня в голове, но Аваст в трее остался и галочка в автозагрузке не пропала, я отключил его правильно, как Вы и говорили, на иконке в трее в контекстном меню, а после выполнения правил по AVZ иконка в трее исчезла, ещё я заметил что когда он автоматически обновляется пропало визуальное и голосовое уведомление. Не хотелось бы его переустанавливать, т.к. пока он будет обновляться может залететь вирус совсем не тот который мы ищем. Хотелось бы услышать Ваше мнение по поводу:

1) после проделанных действий лишился возможности прикреплять файлы (логи) и не на один хостинг не могу заливать, после обновления страницы она перестаёт отображаться и на других вкладках тоже странички после обновления не отображаются

Хороший совет использовать браузер Opera или Firefox c плагином NoScript, IE просто решето и я давно пользуюсь Firefox c плагином NoScript.

Научите пожалуйста отключать в ручную порты, т.е. где находится свойство TCP/IP?

[шпилька]

Если можно, немного дополню, чтобы отключить порты в wwdc, необходимо отключиться от интернета, потом заблокировать порты, отвечать всегда "да", компьютер перезагрузится. Перед выходом в инет, обязательно открывайте эту утилиту, для проверки блокировки портов, все ОК, тогда можете выходить в инет.

[Pili]

т.е. где находится свойство TCP/IP?

http://support.microsoft.com/kb/323357/ru

Для windows XP так же, а вообще - пуск - справка, поиск по ключ словам.

[0ld]

При сканировании AVZ обнаружил:

C:\System Volume Information\_restore{1D7B1D36-FCB6-4B8E-A0E7-72FE0CD2A465}\RP2\A0000036.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)

C:\System Volume Information\_restore{1D7B1D36-FCB6-4B8E-A0E7-72FE0CD2A465}\RP2\A0000045.com - PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 35%)

При сканировании cureitо бнаружил:

A0000016.bat C:\System Volume Informat... Возможно, BATCH.Virus

[Pili]

По логам, которые вы выложили в 5-м посте, ничего этого нет.

C:\System Volume Information\ - это папка восстановления системы (т.е. если вы будете восстанавливать систему а предыдущей точки восстановления)

Combofix включил восстановление системы автоматически (если вы его ранее отключали), возможно в папке восстановления осталось что-то от combofix (некоторые антивирусы к нему неравнодушны)

A0000016.bat - что собой представляет? Можете com файлы проверить на virustotal.com

А для удаления просто снова отключите восстановление системы и далее может включит, а можете не включать - на ваше усмотрение.

или так

- Нажмите Пуск - Программы – Стандартные – Служебные – Очистка диска, выберите системный диск, на вкладке Дополнительно-Восстановление системы нажмите Очистить

- Нажмите Пуск- Программы – Стандартные – Служебные – Восстановление системы, выберите Создать точку восстановления, нажмите Далее, введите имя точки восстановления и нажмите Создать

[0ld]

Combofix включил восстановление системы автоматически (если вы его ранее отключали), возможно в папке восстановления осталось что-то от combofix (некоторые антивирусы к нему неравнодушны)

Спасибо, Вы были абсолютно правы.

Есть хорошая новость:

Проблемы с Авастом исправил (догадался как), может кому пригодится, через "Установка иудаление программ" вместо "Деинсталляция" выбрать "Восстановить", перезагрузка при этом не придлагается но нужно перезагрузить комп и до перезагрузки убедиться что стоит галочка в автозагрузке перед ashDisp (у меня не стояла)

Только вот что странно, в автозагрузке у меня теперь стало два ashDisp, один с галочкой, другой без.

и плохая новость:

Появились еле слышные звуки, как червяк ползает, единственное что смог заметить это C:\WINDOWS\system 32\cleanmgr.exe измени изменил пользовательский интерфейс родительского приложения explorer.exe

[Pili]

Только вот что странно, в автозагрузке у меня теперь стало два ashDisp, один с галочкой, другой без.

Удалите аваст полностью и заново установите.

Появились еле слышные звуки

Эта проблема у вас появлялась вроде бы и до переустановки системы и после, если отключаете локальную сеть, проблема остается? Если да - установите новые драйвера и, если не поможет, проверьте(меняйте) звуковую карту/колонки

[0ld]

если отключаете локальную сеть, проблема остается?

Когда замечу, сразу напишу.

Скажите обновления avz находятся в папке этой программы? Если её записать на CD она будет работаь с CD? Хочу написать для себя правила по безопасности, которые буду выполнять после переустановки ОС, напишу его здесь и Вы проверите всё ли правильно (дополните/исправите) Поскольку отключать службы вручную Вы меня научили напишите пожалуйста скрипт отдельно для:

>> Безопасность: к ПК разрешен доступ анонимного пользователя

и отдельно для:

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

Вы часто говорили мне включить брандмауэр, это Вы в логах avz видели? просто по правилам я отключал фаервол (при этом всплывает сообщение что брандмауэр отключен), а так он у меня включен и после переустановке ОС я его всегда включаю.

Ещё, чтоб с Авастом в следующий раз не возникла проблема при выполнении правил по avz может лучше его его отключать как написано здесь? (нашёл недавно)

[Pili]

Если её записать на CD она будет работаь с CD?

Нет, точнее можно запустить и логи записывать на др. диск, но тогда avz надо запускать с параметрами, подробнее см. Документация по AVZ

>> Безопасность: к ПК разрешен доступ анонимного пользователя

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);end.

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

beginRegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);end.

Вы часто говорили мне включить брандмауэр, это Вы в логах avz видели? просто по правилам я отключал фаервол (при этом всплывает сообщение что брандмауэр отключен), а так он у меня включен и после переустановке ОС я его всегда включаю.

Нет, в лога AVZ этогонет, это как напоминание и мера предосторожности, firewall (напр. comodo, outpost) должен отключаться, т.к. может помешать.

Запуск скрипта я предлагаю почти всегда так

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, временно выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

Как видите встроенный брандмауэр наоборот предлагается включить.

По Avast - достаточно остановить сканер доступа, как я вам ранее говорил, на иконке аваст через п.к.м

Изменено 8 февраля, 2009 пользователем Pili