Max_NV

Делал этот поиск ещё 2 с лишним месяца назад. Было выявлено, что разрешён автозапуск со съёмных дисков, со всех остальных и с CD-ROM. Хотя я уверен на все сто, что у меня он отключен через XPTweaker с cd-rom - параметр в реестре специальный есть и через групповые политики со всех носителеи, кроме cd. Почему каспер тогда это выдаёт и вроде бы конкретно для флэшек или других носителей запретить нельзя (можно только для cd). Тогда какие ключи в реестре он собрался менять? Ну и есс-но выдал ещё уязвимые программы. Инета нету где-то недели две. Решил запустить сегодня поиск. Выдал нарушение ассоциации рег-файлов! Что это значит,с чего это вдруг и безопасно ли исправлять? То же самое выдал АВЗ. Затем, обнаружил все те же проблемы с автозапусками. Я по дури нажал исправить для съёмных. Теперь не знаю, правильно будет работать или нет. А у меня ведь ещё внешний винчестер со всей инфой.. Мало ли что.. Ещё обнаружил, что отключена windows update. Хотя она поставлена на 'уведомлять, но не загружать автоматически'. Странно это всё... Что посоветуете?

---------- Добавлено в 22:49 ---------- Предыдущее сообщение было написано в 22:44 ----------

В самом себе ещё необязательную для исправления уязвимость нашёл.

set of letters

Ничего. Не забивай себе голову. Будут конкретные проблемы , то создашь тему по конкретному вопросу. А сейчас займись чем - нибудь интересным, если есть чем

Max_NV

А что делать с нарушением ассоциации рег-файлов? З.ы. Сейчас прочитал в груп. политике отключения автозапуска, что нельзя её применять для устройств, у которых он уже отключен. А в каспере отмены нету. И что делать теперь?

---------- Добавлено в 22:56 ---------- Предыдущее сообщение было написано в 22:53 ----------

И может объясните как это отключение автозапуска каспер может делать для каждого типа носителя? То же самое АВЗ?

---------- Добавлено в 22:58 ---------- Предыдущее сообщение было написано в 22:56 ----------

Заняться как раз есть чем. Но факт наличия неполадок на компе не даёт мне переключиться.

---------- Добавлено в 23:02 ---------- Предыдущее сообщение было написано в 22:58 ----------

Ещё позавчера когда инсталил k-lite codec mega pack 6.0.0, было выдано, что 'failed to register.. Dxva..(и что-то там дальше)'. Теперь и кодеки криво будут показывать по ходу дела..

---------- Добавлено в 23:05 ---------- Предыдущее сообщение было написано в 23:02 ----------

Подскажите,что можно сделать,если не трудно..

Гризлик

Сделайте лог (скрипт 3) в AVZ и выложите сюда. Просто так ассоциация ненарушается. Отсюда и эта надпись:Далее насчет автозапуска.
Это конечно лично мое мнение. Но мне кажется что его следует всетаки отключить. Покрайней мере со съемных носителей. Т.к. это может быть небезопастно для системы. Т.е. к примеру если флешка заражена вирусом, и в системе включен автозапуск со съемных носителей, то для заражения системы достаточно просто вставить флешку в комп и даже ничего с неё незапуская.

Max_NV

Это-то я знаю само собой! Но в системе нет ключа, отвечающего за автозапуск съёмных носителей. И я его ещё давно отлючил со всех съёмных носителей, кроме сд-дисковода (его через твикер) через груповые политики! Нарушение ассоциации рег-файлов исправил в АВЗ,посмотрим,что будет. Логи выложить не могу - нет основного инета. В журнале событий ПОСТОЯННО вот это уведомление в разделе приложение: источник HHCTRL: не найдено описание для события с кодом ( 1904 ) в источнике ( HHCTRL ). Возможно, на локальном компьютере нет нужных данных в реестре или файлов DLL сообщений для отображения сообщений удалённого компьютера. Попробуйте использовать ключ /AUXSOURCE= для получения этого описания. ... В записи содержится следующая информация: about:blank. Думаю это связано с периодическим появлением странного файлика ezsidmv.dat , когда я подключен к инету. За последние пол-месяца не появлялся, т.к. инета нет.

winshelp

Max_NV, а вы на форуме с какого компьютера пишите???

Max_NV

И теперь видать когда в каспере нажал исправить для запуска со съёмных дисков, в журнале от этой службы появилось сообщение: RSM остановлен.. Что это значит?

---------- Добавлено в 00:45 ---------- Предыдущее сообщение было написано в 00:42 ----------

С телефона.

winshelp

Max_NV, зачем в догадки играть,
логи выложите с подозреваемого компьютера, и все будет видно!

Max_NV

Вот почему при установке тех кодеков та ошибка была - это я понял, в них баг такой. Исправлено в версии 6.0.4 - придётся опять переустанавливать. А вот на остальные вопросы, которые логов не требуют (например про автозапуск) вы мне так и не ответили.

winshelp

Тяжело решить кроссворд - не видя самого кроссворда!

Гризлик

Его и недолжно быть. В реестре есть параметр NoDriveTypeAutoRun вот он и отвечает за отключение автозапуска. (Ему присваивается соответсвующий носитель.) Соответсвенно если его нет, то автозапуск везде разрешен. Лично я у себя ему присвоил значение 0xFF. Соответсвенно автозапуск у меня везде запрещен.
Допустимые значения ключа:
0x1 - отключение автозапуска на приводах неизвестных типов
0x4 - отключение автозапуска съемных устройств
0x8 - отключение автозапуска НЕсъемных устройств
0x10 - отключение автозапуска сетевых дисков
0x20 - отключение автозапуска CD-приводов
0x40 - отключение автозапуска RAM-дисков
0xFF - отключение автозапуска вообще всех дисков.

Это вирус кстати.

Max_NV

Нашёл все ключи с таким названием через Reg Organiser и ни у одного из них дата изменения не сегодняшняя. Следовательно, Каспер меняет что-то ещё в системе при нажатии кнопки 'исправить' для каждого типа носителей. Как я уже сказал,я нажал исправить только для съёмных дисков,остальные пункты в каспере не убрались,зато АВЗ теперь при проверке не выводит: 'Внимание! Включён автозапуск с сетевых дисков',
'Внимание! Включён автозапуск с жёстких дисков', 'Внимание! Включён автозапуск со съёмных носителей'. Хотя,как я уже говорил, у меня это всё было давным-давно отключено через гр. политики,а он всё равно выдавал на пару с каспером. А теперь каким образом они все разом 'выключились',хотя в каспере по прежнему висят ещё три? А про CD - это отдельный разговор. Я его ещё год назад,как я уже говорил,отключил отдельно через ХРтвикер (там ещё вот это было - '*' требуется перезагрузка),независимо от других носителей. Получается, за это отвечает отдельный ключ, а не nodrivetypeautorun. Или поскольку таких nodrivetypeautorun я нашёл много (в основном в них 0хff вроде было, ток ещё с кучей нулей),то и получается что каждый отвечает за что-то своё?? Или как вообще? Непонятно ни черта. Давно ещё с этим хотел разобраться.

---------- Добавлено в 02:39 ---------- Предыдущее сообщение было написано в 02:32 ----------

Но теперь ещё после всех этих махинаций в system32 появилась папка NtmsData,дата изменения сегодняшняя, и в ней 4 файла, один из них 'bak'. Гуглил и ничего толком не нагуглил. Понял только то,что ничё хорошего и что это связано с событием в журнале: 'служба съёмных носителей': RMS остановлен.

---------- Добавлено в 02:54 ---------- Предыдущее сообщение было написано в 02:39 ----------

А ezsidmv.dat непонятно почему появляется. Ведь 100% вредоносных файлов на компе нет - сканил как следует,по правилам! Он начинает появляться, когда подрубаюсь к инету. А всё началось с того, что бесполезный нод всякой дряни напропускал! Ну я с тех пор уже вычистился как надо а файлик этот всё равно появляется. Это как мне кажется связано с событием в журнале,о котором я писал на неск. постов выше. Хакер какой-нить скорее всего.. Но это всё только догадки.. Как реально узнать, я не знаю. Давно ещё пытался выяснить. Ну фиг с ним короче. Скажите плз,что знаете по двум предыдущим сообщениям.

winshelp

Вот ключ реестра который отвечает за автозапуск!!!
----
'NoDriveTyp eAutoRun' - строка, которой нужно присвоить значение!!!
Допустимые значения ключа:
0x1(1) - отключить автозапуск на приводах неизвестных типов
0x4(4) - отключить автозапуск сьемных устройств
0x8(8) - отключить автозапуск НЕсьемных устройств
0x10(16) - отключить автозапуск сетевых дисков
0x20(32) - отключить автозапуск CD-приводов
0x40(64) - отключить автозапуск RAM-дисков
0x80(128) - отключить автозапуск на приводах неизвестных типов
0xFF(255) - отключить автозапуск вообще всех дисков.

и не забывайте что эти значения можно комбинировать, суммируя их числовые значения ... допустим так:

dword:00000091 - подействует в Windows XP (но может и в 2000 и 2003) (отключение автозапуска сетевых и неизвестных дисков) (01+10+80=91).
dword:00000095 - подействует в Windows 2000 и 2003 (но может и в XP) (отключение автозапуска съемных, сетевых и неизвестных дисков) (01+04+10+80=95);

Ну а так например мы отключим весь автозапуск, кроме CD приводов:
128+64+16+8+4+1=221

---------- Добавлено в 23:01 ---------- Предыдущее сообщение было написано в 22:58 ----------

PS. А вообще подозреваю, что у вас на компьютере вирусы что то покорежили!
Без лога AVZ тяжело будет понять что там в системе не так!!!

Max_NV

А насчёт логов: даже если бы была возможность выложить,толку-то от этого? В них всё это не будет отражено. Я задаю вопросы исходя из собственных наблюдений... Иногда можно даже описать лучше, чем это описано в логе :-D

---------- Добавлено в 03:05 ---------- Предыдущее сообщение было написано в 03:03 ----------

Спасибо за разъяснение, проверю на всякий случай ещё раз.

winshelp

Это не совсем так, вы можете описать и понимать немного по своему, а в логе четко отображено состояние системы, и скриптом в авз можно и отключать автозапуск, и перезаписывать разные ключи реестра, и много чего другого!!!