Недавно закрыли smpt-порт, так как с моего компьютера рассылался спам. Почистил систему avz, ad-aware, но есть подозрение что не до конца.
Недавно закрыли smpt-порт, так как с моего компьютера рассылался спам. Почистил систему avz, ad-aware, но есть подозрение что не до конца.
Выполните скрипт в AVZ:
После перезагрузки пришлите карантин согласно приложению 3 правил.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\Regsys.exe',''); QuarantineFile('C:\WINDOWS\System32\winlogin32.exe',''); QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll',''); BC_ImportQuarantineList; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
В карантине нет этих файлов, а есть один с расширением sys
Просто пришлите весь карантин после выполнения скрипта.
I am not young enough to know everything...
Я выслал, дошло?
Ничего вредоносного не найдено.
Для зачистки мусора пофиксите в HijackThis:
и выполните скрипт в AVZ:Код:O16 - DPF: {33331111-1111-1111-1111-611111193423} - O16 - DPF: {33331111-1111-1111-1111-615111193427} - O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} - O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
А еще неплохо бы закрыть потенциальные уязвимости:Код:begin RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpanel'); RebootWindows(true); end.
Что-то из этого используете?Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Alerter (Оповещатель) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) > Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)! >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
I am not young enough to know everything...
Ваш вопрос наводит на мысль, что если отключить все перечисленное, кроме пожалуй автозапуска CD, вы этого николько не заметите Зато повысится безопасность и даже чуть-чуть производительность вашего компьютера. Для этого выполните следующий скрипт:
А почитать о службах можно в соответствующих разделах форума - посмотрите ЧаВо и разделы про Windows, была про это тема.Код:begin RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('Alerter', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
После всех процедур, проделанных вчера
Сегодня утром Kaspersky выдал
c:\windows\system32\spoolsvv.exe
инфицирован вирусом
trojan-proxy.win32.agent.om
Без СП2 в сети долго не живут.
Делайте новые логи по Правилам. Будем смотреть, что теперь поймали.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
А как поставить sp2?
Можно и на эту. Если винда лицензионная, то вам на виндус упдэйт.
Cureit вчера перед созданием логов в безопасном режиме нашел srvany.exe в system32. Хотя интуитивно - все чисто, может быть остались какие-то куски заразы? Также высылаю логи.
в логах чисто....
Винда, похоже, нелицензионная. После проверки Cure-It, если он удалил srvany.exe, то могла сломаться регистрация системы. Будьте готовы к переустановке.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
srvany нет на диске, но система работает и вроде пока (тьфу-тьфу-тьфу)
все нормально
Добавлено через 1 минуту
Насчет лицензионности винды - не знаю. Покупал комп с уже установленной виндой.
Меня интересует что за перехватчики root в логах появляются всякие там sptd.sys и прочие
Последний раз редактировалось Roman67; 11.09.2007 в 19:32. Причина: Добавлено
А чего бояться от последствий удаления srvany?
И еще велика ли опасность заразиться если я сижу только на проверенных сайтах?
заразиться можно даже заходя только на на проверенных сайты .... да еще с вашей дырявой СП1 .... необходимо поставить сп2 и все последующие обновления ....
Уважаемый(ая) Roman67, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.