Здравствуйте! Мне сказали, что с утра Symantec выводил сообщение то ли о наличии вируса, то ли трояна на компьютере. Вот я сделал логи, посмотрите их, пожалуйста. Буду вам очень признателен.
Подозрения на заражение.
Здравствуйте! Мне сказали, что с утра Symantec выводил сообщение то ли о наличии вируса, то ли трояна на компьютере. Вот я сделал логи, посмотрите их, пожалуйста. Буду вам очень признателен.
Последний раз редактировалось ghostil; 11.04.2008 в 19:10.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
На время выполнения скритпа, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=17214 , как написано в прил. 3 правил, и сделайте логи, начиная с п. 10 правил. В дополнение: на машине был пинч - крайне рекомендуется поменять все пароли на данной машине - на учетные записи пользователей, записи электронной почты, интернет-пейджеры, итд.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\ntos.exe',''); QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys',''); DeleteFile('C:\WINDOWS\system32\ntos.exe'); BC_DeleteSVC('FCI'); BC_Importall; BC_Activate; ExecuteSysClean; RebootWindows(true); end.
Карантин закачал. Вот логи, выполненные в соответствии с правилами, начиная с п. 10. Пароли будем менять, спасибо за рекомендацию!
Последний раз редактировалось ghostil; 11.04.2008 в 19:10.
ntos.exe - Trojan-Spy.Win32.Broker.as
tcpip.sys - чистый.
В логах больше ничего подозрительного.
Посмотрите, что вам нужно из этого:
Лишнее отключим.Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя
Добавлено через 1 минуту
Вот это еще можно пофиксить для порядка:
Код:O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)
Последний раз редактировалось Bratez; 30.01.2008 в 12:58. Причина: Добавлено
I am not young enough to know everything...
RemoteRegistry
Schedule
RDSessMgr
Вот эти 3 службы, точно не нужны :-) А строчку сейчас пофиксю.
Отключить их можно таким скриптом:
Код:begin SetServiceStart('RDSessMgr', 4); SetServiceStart('Schedule', 4); SetServiceStart('RemoteRegistry', 4); RebootWindows(true); end.
I am not young enough to know everything...
Спасибо большое за помощь!:-)
Уважаемый(ая) ghostil, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
