-
Junior Member
- Вес репутации
- 60
Замучал автозапуск
Замучали автозапуски (amvo и тд) - вроде бы с помощью вас вылечелись - отключили авто запуск на сменных носителях - подключил фотоаппарат - опять таже бодяга - подскажите как от этого защититься стоит клиентская часть symantec - програма 10.1.5.5000 сканер 71.4.0.15. файл описаний вирусов от 26.02.2008
Последний раз редактировалось friis; 10.04.2008 в 08:34.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\amvo.exe','');
QuarantineFile('C:\WINDOWS\system32\wincab.sys','');
QuarantineFile('C:\WINDOWS\System32\atkosdmini.dll','');
QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');
DeleteFile('C:\WINDOWS\system32\amvo0.dll');
DeleteFile('C:\WINDOWS\system32\wincab.sys');
DeleteFile('C:\WINDOWS\system32\amvo.exe');
DeleteFile('C:\autorun.inf');
DeleteFile('C:\y82td3td.com');
DeleteFile('D:\autorun.inf');
DeleteFile('D:\y82td3td.com');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\y82td3td.com');
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end.
Загрузите карантин согласно приложению №3 правил. Повторите логи.
-
-
Junior Member
- Вес репутации
- 60
Последний раз редактировалось friis; 10.04.2008 в 08:34.
-
Врагов в логах не видать. Как самочувствие системы? У Вас был враг, который воровал пароли на он-лайн игры, так что если в последние играете - меняйте пароли..
-
Junior Member
- Вес репутации
- 60
Вроде нормально всё только Symantec умер придётся переустанавливать уже в третий раз - всегда после этих авторанов так - замучал уже
мог ли этот враг воровать пароли для доступа в интернет при авторизации на керио ?
-
Вряд ли. Может быть Symantec заменить чем-нибудь другим?
-
-
Junior Member
- Вес репутации
- 60
Корпарейт Эдишн - не так просто будет во всём домене это сделать , вот если бы создать групповую политику которая запрещала автозапуск на всех сменных носителях на всех компах ? - но это похоже не тема этого форума
-
Тема. Вы хотите одним кликом запретить автозапуск на всех кмопах или готовы настраивать каждый?
-
-
Junior Member
- Вес репутации
- 60
ну хотелось бы создать правило на котроллере домена - а потом чтоб он распихал запрет по всем доменных компам
отдельно делал( по вашей подсказке на форуме для флешок и для КД-рома отдельно там ключики в реестре правились ) вот на том что сегодня просил вылечить - но как видно в последствии доменные политики убрали тот запрет и всё вернулось обратно - как следствие опять вирус с фотоаппарата
-
Тогда ждите пока не подскажет кто-нибудь знающий. У меня опыта работы с ЛС нет.
-
-
Junior Member
- Вес репутации
- 60
-
Текущий Симантек 10.1.6.6010 Базы 71.4.0.15 убивает автораны очень неплохо.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Сообщение от
friis
ну хотелось бы создать правило на котроллере домена - а потом чтоб он распихал запрет по всем доменных компам
На контроллере в Администрировании:
Active Directory - Пльзователи и компьютеры - выбрать домен правой кнопкой мыши - Свойства - Групповая политика - выбрать нужную политику - Изменить
В редакторе политик:
Конфигурация компьютера - Административные шаблоны - Система - Отключить автозапуск
Конфигурация пользователя - Административные шаблоны - Система - Отключить автозапуск
Аналогично для папки Domain Controllers
-
-
Junior Member
- Вес репутации
- 60
Спасибо !!!
включил параметр Turn off autoplay на значение "включено" для "all drivers"
Добавлено через 2 минуты
тукещий симантек 10.1.7.7000 от 19.12.2007
но скачать его не могу с сайта - даже докачки не помогают - всё рвётся
а этот что у меня обновляет почему то только вирусные описания
Последний раз редактировалось friis; 05.03.2008 в 16:18.
Причина: Добавлено
-
Ну, значит до нас текущий еще не добрался.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-