» AVZ - Anti-SpyWare, Anti-AdWare

gjf
Thank's

setwolk
В программе AVZ
Файл -> Восстановление системы -> п.20 отметить и выполнить

По остальному - погуглить

Foss
Спасибо огроменное!

2 setwolk.
Еще отметить пункт 8- восстановление настроек проводника. Запустить мастера поиска и устранения проблем-нажать клавишу "поиск", отметить проблемы с автозапуском с дисков и нажать клавишу "устранить". Обязательно проверить вход винды в безопасный режим, если не входит, то отметить п.10 в восстановлении системы. Почему -то AVZ
у меня не сообщил об этом пункте. Если несколько пользователей заходят в винду под своими логинами, то проверять в каждом.

Vasho
А зачем мне восставналивать настройки проводника, чего то не очень понял...?

Отключение автозапуска (Autorun) приводов (CD-ROM, Flash) в windows 2000/XP/2003
[more]'**************************
'*** AutorunDisabled ******
'**************************
Dim WSHShell
Set WSHShell = wscript.CreateObject("wscript.Shell")
'******************************************
'**** Добавляем записи в реестр ***********
'******************************************

'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom\AutoRun", "0", "REG_DWORD"

'отключаем автозагрузку через политики Windows
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\NoDriveTypeAutoRun", "255", "REG_DWORD"

'Таким образом Windows думает, что autorun.inf нет вообще на компе и злостные команды для запуска зловредов в файле autorun.inf не выполняются
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf\", "@SYS:DoesNotExist"

'здесь указываются ТЕКСТОВЫЕ ПАРАМЕТРЫ ФАЙЛОВ, КОТОРЫЕ НЕ ДОЛЖНЫ АВТО-ЗАПУСКАТЬСЯ, *.* - означает любой
WSHShell.RegWrite "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files\*.*", ""

'*************************************************
'**** Удаление MountPoints2 из реестра ***********
'*************************************************

'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).
Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

WSHShell.Popup "Автозагрузка успешно отключена"

[/more]
сделать файлом с расширением *.vbs

opt_step
Удаление MountPoints2 из реестра

После вот это не очень понятно, нашел ветку HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

Дальше куда идти?!

setwolk

Цитата:

Удаление MountPoints2 из реестра

Вы что вообще творите? У Вас была инфекция на флешке и теперь не открываются диски из Проводника?

Пожелание: Сделайте списки более контрастными.
Например, в Модулях ядра неподписанные модули выделяются черным цветом, который очень похож на тёмно-зелёный(цвет подписанных). Если сделать текст неподписанных модулей оранжевым, то их будет гораздо проще отличить от подписанных

gjf
Я прошу прощения, взято из статьи. Я ничего конечно не удаляю.
Сатья:

'*************************************************
'**** Удаление MountPoints2 из реестра ***********
'*************************************************

'Через ключ MountPoints2 в реестре также существует возможность для системы обходить заданный запрет на автозапуск сьёмных носителей.(там могут уже быть заданы параметры по автозапуску для сьёмных устройств, которые система уже знает).
Command = "REG DELETE ""HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

Command = "REG DELETE ""HKU\S-1-5-21-2170445449-3629066266-18666223-4272\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2"" /f"
Return = WshShell.Run(Command, 0, true)

WSHShell.Popup "Автозагрузка успешно отключена"

Вот я и спрашиваю про вот это, не понятно что именно удалять в этой подветке...
Идет параметр f, но там нету такова значения Return = WshShell.Run(Command, 0, true)
Может кто нить подскажет?

setwolk
Если при открытии диска Windows спрашивает, с помощью какой программы его открыть

Найти и убить все autorun.inf со всех дисков. Запустить редактор реестра, найти ключи [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2]
и удалить их.
Источник: http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%87%D1%82%D0%BE-%D1%82%D0%BE_%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%BE
Эта ветка сделана для того чтоб пользователь , тыкая в проводнике на разных дисках (даже сменных) мог иметь возможность запуска разных программ. Но вместо этого пользователи имеют геморрой с вирусами и антивирусами, которые не до конца вылечивают компьютер.
Вот еще: http://forum.kaspersky.com/lofiversion/index.php/t33555.html
http://forum.oszone.net/archive/index.php/t-132522.html

opt_step
Цитата:

Если при открытии диска Windows спрашивает, с помощью какой программы его открыть....
Источник: http://wiki.drweb.com/index.php/%D0%95%D1%81%D0%BB%D0%B8_%D1%87%D1%82%D0%BE-%D1%82%D0%BE_%D0%BE%D1%82%D0%BA%D0%BB%D1%8E%D1%87%D0%B5%D0%BD%D0%BE

Внимательно почитать название статьи, и пытаться понять для чего, после чего это нужно делать. На чистой системе после отключение автозапуска всех дисков, окно с вопросов с помощью какой программы его открыть не выскакивает. вопрос
AVZ - справка по работе с программой: Восстановление системы 19. Очистить базу MountPoints

RW3DVK
для полного отключения всех авто запусков данная команда лишней не будет и на не чистой система и вреда тоже нет в этой команде

Короче не кто ответить на мой вопрос не может, ладно...

setwolk
А в чём вопрос-то?

opt_step
Цитата:

для полного отключения всех авто запусков данная команда лишней не будет

Бесполезной. В поисковике про параметр MountPoints2 изучить для чего он нужен.

gjf
Выше написан вопрос и в конце стоит знак вопроса.

RW3DVK
Например, одна из разновидностей вируса RavMon создает в корневой директории носителя файл autorun.inf со следующим содержимым:
[AutoRun]
open=RavMon.exe
shell\open=ґтїЄ(&O)
shell\open\Command=RavMon.exe
shell\explore=ЧКФґ№ЬАнЖч(&X)
shell\explore\Command="RavMon.exe -e"

При открытии флэшки (или корневой директории локального диска, когда вирус заражает винчестер ПК) этот файл создает в Реестре Windows ключи, подобные следующим:

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\AutoRun\command]
строковый параметр по умолчанию – RavMon.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore]
строковый параметр по умолчанию – ЧКФґ№ЬАнЖч(&X)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\explore\Command]
строковый параметр по умолчанию – RavMon.exe -e

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open]
строковый параметр по умолчанию – ґтїЄ(&O)

[HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\MountPoints2\{8397b16a-78ce-11dc-abd6-806d6172696f}\Shell\open\Command]
строковый параметр по умолчанию – RavMon.exe и т.д.
Короче кому как действовать решать самому.

opt_step почитать

setwolk
А какое это отношение имеет к AVZ?

gjf
Ну вот opt_step на 47 странице выложил ссылку пройдя по ней я и задал вопрос, ничего более я не придумывал.

RW3DVK
понимаю, но каждый нормальный админ по-моему мнению должен быть немного параноиком, и ещё давай данный вопрос закроем немного не тему.
есть такая утилита NoMoreAutorun (nmar), автор парень с форума на озоне, и там тоже есть такая фича.
Короче каждому принимать сое решение.
setwolk
не пойму вопрос конкретно по синтаксису строки?

Какие то неполадки с AVZ 4.32 Запускаю его на диске с ХР пробую обновить базы. На середине обновление прерывается с сообщением о повреждении файла main037.avz Заглядываю в папку. Там почему то нет такого файла (последний main036.avz). Запускаю проверку харда с ХР. Диск вроде чист, только очень много перехватчиков клавы, но я так понимаю, что их и должно быть много? *блокнот* тоже перехватчик. Запустил ещё *мастер поиска и устранения проблем* тоже ничего особенного. Ладно, перезагрузил комп и запустил Win 7. запускаю AVZ с другого физ диска (с того где ХР) и обновление баз проходит нормально. Появляется файл main037.avz. Проверка компа )оба харда) ничего существенного. Запускаю *мастер поиска и устранения проблем*, не запускается. вместо него появляется окно типа: Access violation at address 0042A66B in module `avz.exe`. Read of adress 00000008. Щёлкаю ОК, сразу появляется ещё такое же. Щёлкаю ОК (там выбора то нет) и всё. Окно закрывается, а мастер исчезает. Что за проблемы? Почему на ХР не проходит обновление баз, а на Win7 не запускается *мастер поиска и устранения проблем*, хотя ничего существенного при проверках не выявлено (кроме перехватчиков клавы, которых ну очень много. Есть среди них и *перехватчик не определён*, но как я понимаю у игр свои перехватчики, у прог и утилит свои, у системы свои ... ?

thelamb
C обновлением были проблемы позавчера со стороны хостера. Сейчас проверил ХР и 7 - всё обновляется и запускается.

Попробуйте перезакачать программу и обновить заново.

gjf
Понял, спасибо. По срокам подходит. Это я сейчас на Win 7 обновлялся и всё нормально. Скачал утилиту заново теперь уже на Win 7, но история с мастером повторяется, да и вообще после окончания проверки харла не даёт даже отчёт сделать. Выходят те же два окна. Стоит только провести курсором внутри окна проги.
Access violation at address 0042A66B in module `avz.exe`. Read of adress 00000008.
Нарушение прав доступа по адресу 0042A66B в модуле `avz.exe` . Читайте по адресу 00000008
Где искать то? Это на Win7.

opt_step
Да, что она означает и как ее отключить!?

setwolk Про автозапуск: 1 , 2 и поиск работает.

RW3DVK
Я спросил про конкретную ссылку, если быть внимательным то несколько страниц назад, я писал что конкретно меня интересует, поэтому ваш пост не уместен.

setwolk

Цитата:

Вот я и спрашиваю про вот это, не понятно что именно удалять в этой подветке...

удалять надо все что в \MountPoints2

opt_step
Ээээээ, там столько подветок, там вся моя сеть, все шары куда я ходил по c$, а также очень много веток примерно вот с такими именами {ebc16f8e-cb27-11dd-9847-806d6172696f}
И что это все можно бахнуть?!