Видимая часть началась с появлением Warning! Potential Spyware operation. В ответ на клик "Да" выбрасывает на страничку с закосом под антивирусное содержание и предлагает еще какую-то прогу загрузить и запустить. Не загружал ее.
Все сделал согласно инструкции. Отключить восстановление системы не удалось, т.к. в ответ на правый клик на "Моем компьютере" и выборе пункта "свойства" выпадает сообщение, что "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети". Ранее такого не наблюдалось, т.е. "свойства" открывались.
CureIt в safe mode обнаружил пару десятков файлов инфицированных следующей дрянью: Tool.PassView.Origin, Tool.BrutusPWS, Trojan.PWS.GoldSpy, BackDoor.Bulknet, Tool.Prockill, Trojan.FakeAlert.357 (и 311 - судя по названию как раз то самое видимое) и пр. Что не лечилось поудалял (с помощью CureIt конечно).
На форуме с моего компа при нажатии кнопки "Новая тема" и последющем вводе имени и пароля появляется страничка объявляющая, что идет переадресация, а потом выбрасывает обратно на пустые поля имени и пароля. Поэтому пост отправляю с другого компа.
Прошу помощи. Файлы прилагаются. Заодно просветите, как выполняются (посредством какой программы) скрипты?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Пофиксил, скрипт выполнил, карантин отправил. Только карантин без пароля. Что-то не нашел я там такой опции. Пока еще разок NOD32 прогоню.
Еще какие-то действия нужны будут?
Добавлено через 6 минут
Сообщение от PavelA
Восстановление системы отключить срочно перед выполнением скрипта.
Не могу войти в "свойства" "моего компьютера". В ответ на выбор этого пункта контекстного меню выпрыгивает сообщение "Операция отменена вследствие действующих для компьютера ограничений. Обратитесь к администратору сети". Нажимаю ОК (других опций не предлагается), она же появляется второй раз. После второго раза прекращается. Ранее такого не наблюдалось, т.е. "свойства" открывались.
Последний раз редактировалось uadennis; 18.10.2007 в 17:35.
Причина: Добавлено
Прошелся второй раз по полному кругу инструкции. Логи в приложении. Восстановление системы удалось отключить после запуска указанных пунктов в AVZ. Спасибо за подсказку.
Из карантина исчез один из файлов. Загрузить карантин?
это потенциальные уязвимости ....
что из этого используется ...?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
это потенциальные уязвимости ....
что из этого используется ...?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешен запуск программ и файлов в IFRAME без запроса
>> Безопасность: Разрешены терминальные подключения к данному ПК
Джентльмены! Спасибо огромное за помощь!!! Система вроде стабильна. Может подскажете, плз, как выключать службы и прочие дырки, кои не используются?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: