Артём

Время от времени, при подозрении на вирусную активность нам случается прибегать к помощи антивирусных утилит, таких как Dr.Web и AVZ.

Хочу остановиться немного более подробней на последней. Не стану углубляться в описание оптимально задаваемых настроек перед ее использованием, благо информации на сей счет имеется в избытке как на официальном сайте, так и в сети вообще. Кроме того, интуитивно можно разобраться в них и самостоятельно.
Если кто обращал внимание, то по окончании проверки, мы, скорее всего, увидим следующую картину маслом:

http://s56.radikal.ru/i154/0902/c9/e4dc89bd6f53.jpg

Что это означает, что это за службы, их предназначение и безопасно ли их отключать?
Итак:

Служба RemoteRegistry (Remote Registry)
Это служба удаленного управления реестром.
Позволяет удаленным пользователям изменять параметры реестра на этом компьютере. Если эта служба остановлена, реестр может быть изменен только локальными пользователями, работающими на этом компьютере. Данной службы нет в операционной системе Windows XP Home, да и в ХР Professional она без надобности, имхо.
Название службы: RemoteRegistry
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Недоступна
По умолчанию в Windows XP Pro: Автоматически
Рекомендуемое значение: Отключена
Вход от имени: Локальная служба

Служба TermService (Terminal Services)
Служба терминалов.
Данная служба предоставляет возможность нескольким пользователям интерактивно подключаться к компьютеру и отображает рабочий стол и приложения на удаленных компьютерах. Является основой для удаленного рабочего стола (включая удаленное администрирование), быстрого переключения пользователей, удаленного помощника и служб терминалов.
Название службы: TermService
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Вручную
По умолчанию в Windows XP Pro: Вручную
Рекомендуемое значение Вручную, или вообще Отключена.
Вход от имени: Локальная система

Служба обнаружения SSDP (SSDP Discovery Service)
Данная служба включает обнаружение UPnP-устройств в домашней сети. Однако, необходимость данного сервиса в домашних условиях вызывает большое сомнение.
Название службы: SSDPSRV
Название процесса: svchost.exe
По умолчанию в Windows XP Home: Вручную
По умолчанию в Windows XP Pro: Вручную
Рекомендуемое значение: Отключена
Вход от имени: Локальная служба

Служба Schedule (Task Scheduler)
В дополнение к командам AT системы Windows XP и Windows Server 2003 располагают новым средством — планировщиком заданий (Task Scheduler). (Присутствует также новая утилита командной строки — Schtasks.exe, имеющая значительно больше функциональных возможностей по сравнению с AT.) С помощью планировщика заданий можно составить расписание запуска командных файлов, документов, обычных приложений или различных утилит для обслуживания системы. Программы могут запускаться однократно, ежедневно, еженедельно или ежемесячно в заданные дни, при загрузке системы или регистрации в ней, а также при бездействии системы (idle state). Планировщик позволяет задавать достаточно сложное расписание для выполнения заданий, в котором определяются продолжительность задания, время его окончания, количество повторов, зависимость от состояния источника питания (работа от сети или от батарей) и т. п.
Задание сохраняется как файл с расширением job, что позволяет перемещать его с одного компьютера на другой. Администраторы могут создавать файлы заданий для обслуживания систем и переносить их в нужное место. К папке заданий можно обращаться удаленно, кроме того, задания можно пересылать по электронной почте.
Служба Task Scheduler (имя Schedule) инсталлируется вместе с системой и автоматически запускается при ее загрузке. Управление этой службой может осуществляться интерактивно из окнаScheduled Tasks (Назначенные задания), которое доступно из панели управления или по команде Start | АН Programs | Accessories | System Tools | Scheduled Tasks. При помощи менюAdvanced (Дополнительно) в окне планировщика заданий можно приостанавливать или запускать снова эту службу. Данное меню позволяет также обращаться к журналу регистрации запланированных и выполненных заданий (командаView Log (Просмотр журнала)), в котором также фиксируются все ошибки, возникшие при запуске заданий.
Опасность автоматического запуска этой службы может представлять собой скрытый системный запуск внедренного на ПК вредоносного ПО, поэтому ее можно тоже отключить, или в крайнем случае определить режим запуска как Вручную.

Служба mnmsrvc (NetMeeting Remote Desktop Sharing)
Системная служба общего доступа к рабочему столу NetMeeting позволяет прошедшим проверку пользователям удаленно управлять рабочим столом Windows с помощью программы Windows NetMeeting с другого компьютера по внутренней сети предприятия. Службу необходимо явно включить в NetMeeting, а для отключения или закрытия предназначен значок в области уведомлений Windows. Если вы заботитесь о безопасности вашего компьютера, то есть смысл отключить данную службу.
Название службы: mnmsrvc
Название процесса: mnmsrvc.exe
По умолчанию в Windows XP Home: Вручную
По умолчанию в Windows XP Pro: Вручную
Рекомендуемое значение: Отключена
Вход от имени: Локальная система
Используемые протоколы и порты, на которых служба ожидает входящий трафик: TCP: 3389.

Служба RDSessMgr (Remote Desktop Help Session Manager)
Это служба диспетчера сеанса справки для удаленного рабочего стола.
Управляет возможностями удаленного помощника. После остановки данной службы удаленный помощник будет недоступен. Если вам не нужна данная служба, то просто отключите ее. В режиме бездействия данная служба занимает от 3.4 до мб оперативной памяти.
Название службы: RDSessMgr
Название процесса: sessmgr.exe
По умолчанию в Windows XP Home: Вручную
По умолчанию в Windows XP Pro: Вручную
Рекомендуемое значение: Отключена
Вход от имени: Локальная система.

Итак мы видим, что надобности в автоматическом запуске и постоянной работе этих служб нет, если компьютер не является членом домена/локальной сети, но является стационарной (локальной) рабочей станцией. Поэтому данные службы можно и должно отключить в целях обеспечения дополнительной безопасности от угроз извне.
Чтобы это сделать мы конечно можем нажать Win+R, ввести в строку msconfig, далее во вкладке службы найти и поочередно отключить неугодные нам. Но мы пойдем иным путем, более простым. Для этого, запускаем антивирусную утилиту AVZ, заходим в меню «Файл» и выбираем строку «Выполнить скрипт» - как показано на скриншоте.

http://s58.radikal.ru/i162/0902/94/d8773df7fad5.jpg http://s60.radikal.ru/i167/0902/b5/3d5329ef677d.jpg

Далее, в появившемся поле ввода копипастим (копируем-вставляем) следующий скрипт:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Pa rameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun ', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Жмем Запустить и уходим в reboot. После перезагрузки Ваш железный друг стал еще более неуязвимым ко всяким недружественным нападкам из сети.

Всем добра и света.

виктор67

сделал как написано, но при нажатии запустить вылезло:access violation at address 004E976A in module avz.exe. Readof address 00004556. Что дальше

Matrix

виктор67
Это означает ошибку обращения (адрессации) процесса в модуле AVZ. Попробуйте переустановить его и/или запустить снова от имени администратора при отключенных антивирусных программах и брандмауэре.