Стоит Outpost 4.0.1025.7828, DrWeb 4.33 с обновленными базами.
Постоянно идет smtp-рассылка с процесса systems.exe, создаю правило через файервол на запрет исходящих smtp-пакетов, начинается беспорядочный перебор адресов и портов. ДрВеб ничего не находит.
Последний раз редактировалось ArChIv@rIu$; 08.09.2007 в 23:08.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
переделал скрипт .... пробуйте запустить ... если не получится ... сделайте принтскрин ошибки....
Сделал. Прислал, я так понял нужны были 3 файла
Kernel.exe, ntos.exe, cpadvai.dll, но в карантине почему-то всего 2 файла с расширением .dta и 6 файлов с расширением .ini
у меня сегодня очень плохо с экстросенсорикой , зачем вы удалили из карантина файлы(?), пришлите его как есть, без редактирования....
Прошу прощения, файлы эти (карантин) я грохнул (это серьезно?)
Логи повторил...
Файл virusinfo_syscure.zip у меня не создается. При выполнении скрипта "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info" у меня создается файл virusinfo_cure.zip
В сэйф моде скрипт прошел, но видимо с ошибками, не успел прочитать, комп перегрузился. В карантин попали только ini-файлы
Файл так назвал (virusinfo_cure1.zip), потому что общий файл был 800 Кб и есть еще второй, но я превысил максимальный объем вложений, так что не знаю как быть
Запрошенные файлы присылать по ссылке, что вверху темы!
Пришлите, как положено.
Последний раз редактировалось pig; 09.09.2007 в 03:55.
Причина: Удалил карантины
Скрипт выполнил, логи приложил. Только объясните, пожалуйста, почему в правилах при выполнении пункта 8 упоминается файл virusinfo_syscure.zip, а реально формируется virusinfo_cure.zip
Последний раз редактировалось ArChIv@rIu$; 09.09.2007 в 15:44.
Первый - это лог, а второй - карантин, который в тему прикреплять нельзя!
Понял, удалил карантин, в логах интересности остались? Похоже последний скрипт помог, Аутпост больше не регистрирует smtp-пакетов.
Как в дальнейшем уберечся от спамботов? Есть методы? Кроме отключения модема
Больше ничего подозрительного нет.
Осталось разобраться с этим:
Код:
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: разрешен автоматический вход в систему
Кроме автоматического входа в систему не используется ничего (комп домашний), единственное, я не знаю, что такое SSDPSRV
Все сделал, пока полет нормльный. БОЛЬШОЕ СПАСИБО.
Скрипт Сбора неопознанных и подозрительных выполнил, файл залил.
Еще раз спасибо.
З.Ы. Если речь идет о работе. Сервер 2003, он же терминал-сервер, на нем же скуль вертится. Как обезопасить от подобной заразы машини в ЛВС, и сервер в том числе?
Заранее спасибо.
Последний раз редактировалось ArChIv@rIu$; 09.09.2007 в 18:50.
Уважаемый(ая) ArChIv@rIu$, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: