-
Junior Member
- Вес репутации
- 57
Самозапускаемый процесс
Windows Server 2003
Насколько мог воспользоваться логами avz4 при первом сканировании - настолько уменьшил количество мусора. После перезагрузки все равно присутсвует скрытые процессы (видно по логам), утилита КидоКиллер с сайта Касперского удалила лишь назначенные задания (которые впоследствии появляются снова), CureIt! ничего подозрительного не выявил.
Спасибо.
Последний раз редактировалось ALP; 30.10.2009 в 09:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
1.4 Searching for masking processes and drivers
Masking process with PID=316, name = ""
>> PID substitution detected (current PID is=0, real = 316)
Masking process with PID=616, name = ""
>> PID substitution detected (current PID is=0, real = 616)
Masking process with PID=1192, name = ""
Такое характерно для Windows2003
По поводу Kido:
9. Troubleshooting wizard
>> Windows Update settings blocked
>> HDD autorun is allowed
>> Network drives autorun is allowed
>> Removable media autorun is allowed
Похоже это как раз для Вас:
Краткое описание семейства Net-Worm.Win32.Kido. (По ESETу Win32/Conficker)
Способы удаления
Удаление сетевого червя производится с помощью
специальной утилиты KK.exe.
Локальное удаление:
(Как пользоваться kk.exe Вы и так знаете)
Внимание! С целью предохранения от заражения на всех рабочих станциях и серверах сети необходимо провести следующий комплекс мер:
* Установить патчи, закрывающие уязвимости MS08-067, MS08-068, MS09-001 (на данных страницах вам необходимо выбрать операционную систему, которая установлена на зараженном компьютере, скачать нужный патч и установить его).
* Удостовериться, что пароль учетной записи локального администратора устойчив ко взлому - пароль должен содержать не менее шести символов, с использованием разных регистров и/или цифр. Либо сменить ранее установленный пароль локального администратора.
* Отключить автозапуск исполняемых файлов со съемных носителей, запустив утилиту KK.exe с ключом -a.
* Заблокировать доступ к TCP-портам: 445 и 139 с помощью сетевого экрана.
The worst foe lies within the self...
-
-
Junior Member
- Вес репутации
- 57
Заплаты проставлены, пароль существует.
Попробую выполнить все еще раз, внимательнее.
Спасибо.