Добрый день. Была запущена программа admin.exe из локалки. Изменены политики пользователя, т.е меня, запрещен редактор реестра, отключено автоматическое обновление (заблокировано), и главное измененена политика входа в Windows (winlogon) с последним вообще не знаю что делать. На вирусы проверела доктором Вебом, ничего не находит, кроме тех, что я знаю, мирка и т.п. Все равно он их заблокировал.
Помогите пожалуйста, вся информация в логах.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
АВЗ- Мастер поиска и устранения проблем - выбрать все проблемы - устранить ....
выполните скрипт ...
Код:
begin
QuarantineFile('C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll','');
QuarantineFile('C:\Program Files\SaveChm\SaveChm.vbs','');
QuarantineFile('C:\Program Files\Need2Find\bar\1.bin\ND2FNBAR.DLL','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
откуда такая любовь к старине .... ?
- Platform: Windows XP SP1 (WinNT 5.01.2600)
- кав 5 и базы у него наверно от 2005 ?
Карантин выслан, может не загрузился, не заметила что зашел без регистрации. Если надо, вышлю еще раз. Программа ONScreen от ноутбука.
Откуда любовь к старине? Ноут из шкафчика, нужен пока для интернета. Как раз занималась вопросом безопасности и обновления.
AVP со свеженькими базами, я ж не совсем...
Не потянет ноут последний сервис-пак, и места нет. Поставлю пока отдельные после SP2. Поиск и устранение выполнила, но осталось заблокировано меню автоматическое обновление. Оно само отключено, но меню выбора должно ж работать. Или это я уже намудрила с отключениями разными.
И немножко глючи область уведомлений на панели задач, не сворачивается. Это как-нибудь теперь можно исправить? Отключение и включение обратно не помогает.
Последний раз редактировалось Medeya; 09.05.2008 в 22:30.
Все-таки я проверила, это меня понизили в правах. Заблокирована вкладка обновления Windows и брандмауэра интернета, я ими не пользуюсь, т.к стоит ZoneAlarm и обновления скачиваю вручную, но желательно восстановить.
Как мне это сделать правильно? Заходить под админом и исправлять политики? WinXP Home
И в журнале опять появляется запись
Отказ входа в систему:
Причина: неизвестное имя пользователя или неверный пароль
Пользователь: мое имя (изменила я)
Домен:
Тип входа: 2
Процесс входа: Advapi
Пакет проверки: MICROSOFT_AUTHENTICATION_PACKAGE_V1_0
Рабочая станция: ... (тоже изменила я)
Добавлено через 3 часа 10 минут
И еще вопрос, нужно ли разрешение в файрволле программе svhost, просит выхода и входа Generic Host Process Services for Win32, адрес входа и приема домен?
Последний раз редактировалось Medeya; 10.05.2008 в 19:52.
Причина: Добавлено
Спасибо, помогло. Но теперь нет центра безопасности в трее, по умолчанию в SP2 должен быть включен, также в моем компьютере появилась Вебпапка с одним значком MSN, очевидно оттуда и было вторжение. Пыталась удалить Messenger через удаление состава Windows, подправив файл Sysos.inf и удалив из него Hide, Виндоус выдала ошибку, что конфигурирование невозможно и компонент может неправильно работать.
Состав не показывается и получается что установлен, т.к 14 Мб не убираются, должно ж быть 0.
Что я сделала не так?
Последний раз редактировалось Medeya; 12.05.2008 в 00:47.
кто сказал что центр безопасности должен быть в трее ? даже если включен и все в порядке его не видно ...
ве папки появились из - за скрипта ( восстановлены умолчания )
легко убрать скриптом ...
Код:
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
Теперь как мне быть? Еще раз проверять и высылать логи. Дело в том что есть внешний диск и настольный компьютер. Последний желательно проверить.
И с внешним тоже посмотреть. Чтобы мне не переносить заразу между ними.
Для компьютера новую тему надо создавать?
Интернет только здесь, на ноуте. Придется все переносить через внешний хард.
И что с карантином?
А что означает запись в журнале: событие 540, вход NA\Анонимный пользователь:
Успешный сетевой вход в систему:
Пользователь:
Домен:
Код входа: (0x0,0x18667)
Тип входа: 3
Процесс входа: NtLmSsp
Пакет проверки: NTLM
Рабочая станция: Код GUID: {00000000-0000-0000-0000-000000000000}%
AVZ Никаких анонимных пользователей не находит, я отключала через реестр. Хочется быть спокойной, что никто опять не войдет вместо меня, т.к сейчас загрузила ноут, и выдало ограниченное подключение.
Все обновления безопасности поставлены, сейчас еще проверю на сайте Майкрософта.
SP 3 ноут не потянет и элементарно нет места, все обновления безопасности установлены.
А это не то что у меня включена возможность входить в локальную сеть без учета трафика с подключенным интернетом? В том числе и анонимно на фтп.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: