Опять двадцать пять.
Симантек постоянно сканирует исходящую почту. Я соответственно ничего не отправляю. Dr. Web (Cure It) в безопасном режиме ничего не нашел. Логи приложил.
Опять двадцать пять.
Симантек постоянно сканирует исходящую почту. Я соответственно ничего не отправляю. Dr. Web (Cure It) в безопасном режиме ничего не нашел. Логи приложил.
Последний раз редактировалось Denis79; 24.01.2008 в 14:29.
пофиксите
віполните скрипт....Код:O4 - HKCU\..\Run: [Firewall auto setup] C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe
пришлите карантин согласно приложения 3 правил повторите логи...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); QuarantineFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe',''); DeleteFile('C:\DOCUME~1\User\LOCALS~1\Temp\winlogon.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); BC_ImportAll; BC_DeleteSvc('FCI'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Скрипты выполнил. Карантин отправил.
давайте новые логи ...
Прикладываю.
Последний раз редактировалось Denis79; 24.01.2008 в 14:29.
в логах чисто ...
осталось разобраться с потенциальными уязвимостями ....
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
что вам из этого нужно остальное поможем закрыть ...
Спасибо, ничего не надо править.
Подскажите как с этим бороться чтобы впредь не вылезало - юзеры через одного эту муру ловят. Антивир - Симантек 10.
запретите юзерам работать с правами администратора ....
Спасибо.
Вдогонку такая же проблема на другой машине. Веб в безопасном убил несколько вирусов. Отправка с компа продолжается. Логи приложил.
Последний раз редактировалось Denis79; 24.01.2008 в 14:29.
Полагается в отдельную тему, ну да ладно.
Выполните скрипт в AVZ:
После перезагрузки пришлите карантин и сделайте новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe',''); QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA',''); QuarantineFile('C:\WINDOWS\system32\regwiz.exe',''); QuarantineFile('C:\WINDOWS\system32\cssrss.exe',''); QuarantineFile('C:\WINDOWS\Temp\startdrv.exe',''); QuarantineFile('C:\DOCUME~1\BERNIK~1\LOCALS~1\Temp\winlogon.exe',''); QuarantineFile('C:\WINDOWS\System32\drivers\protect.sys',''); DeleteFile('C:\WINDOWS\System32\drivers\protect.sys'); DeleteFile('C:\DOCUME~1\BERNIK~1\LOCALS~1\Temp\winlogon.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe'); DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA'); BC_ImportALL; BC_QrSvc('runtime'); BC_QrSvc('runtime2'); BC_DeleteSvc('runtime'); BC_DeleteSvc('runtime2'); BC_DeleteSvc('FCI'); ExecuteSysClean; BC_Activate; RebootWindows(true); end.
I am not young enough to know everything...
Выполнил скрипт. Проверку тоже. Логи и карантин прикладываю.
Последний раз редактировалось Denis79; 23.10.2007 в 13:03.
пофиксите ...
выполните скрипт .....Код:O4 - HKLM\..\Run: [WMDM PMSP Service] C:\WINDOWS\system32\cssrss.exe O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
повторите логи..Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFile('C:\WINDOWS\system32\cssrss.exe'); DeleteFile('C:\WINDOWS\Temp\startdrv.exe'); DeleteFile('C:\WINDOWS\system32\svchost.exe:ext.exe'); BC_ImportDeletedList; BC_DeleteSvc('FCI'); BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Выполнил
Последний раз редактировалось Denis79; 24.01.2008 в 14:29.
в логах чисто ...
Большое спасибо.
Уважаемый(ая) Denis79, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.