Компьютер со скоростью несколько Кв в сек посылает (троян или рассылка спама) и принимает(!?) информацию, хотя запущенных приложений нет. Помогите пожалуйста.
P.S. Входящий трафик вообще ничем объяснить не могу.
Компьютер со скоростью несколько Кв в сек посылает (троян или рассылка спама) и принимает(!?) информацию, хотя запущенных приложений нет. Помогите пожалуйста.
P.S. Входящий трафик вообще ничем объяснить не могу.
Последний раз редактировалось sparrow; 15.09.2007 в 23:24.
выполните скрипт....
повторите логи....Код:begin BC_QrFile('C:\WINDOWS\Temp\startdrv.exe'); BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS'); BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys'); BC_DeleteFile('\SystemRoot\System32\DRIVERS\smtpdrv.sys'); BC_DeleteSvc('smtpdrv'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('Ip6Fw'); BC_Activate; RebootWindows(true); end.
Сделал
Последний раз редактировалось sparrow; 15.09.2007 в 23:24.
профиксите ...
выполните скрипт...Код:O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
повторите логи....Код:begin DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
что из этого используете...
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule ()
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Автозапуск желателен, что такое SSDP, службы терминалов и адм.доступ к дискам я не знаю, остальное лишнее
Последний раз редактировалось sparrow; 15.09.2007 в 23:24.
в логах чисто .... если проблем нет лечение можно считать завершенным...
закрываем потенциальные уязвимости ....
выполните скрипт ...
Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать электронную книгу)"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!
Удачи!
Уважаемый(ая) sparrow, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.