-
Junior Member
- Вес репутации
- 53
Новые уч.записи на сервере
Достался мне сервер WindowsServer2003.
Работал себе и работал. Не трогала его. Раздавал инет и служил фтп-сервером.
Вчера начались фокусы. Судя по логам, в 2 ночи сработал вининсталлер, установились ехешники, затем запустилась служба телнета, потом была создана уч запись с админскими правами (first) и выключени удален брендмауер.
Всё вычистила, файервол восстановила.
Сегодня с утра картина маслом: уже ДВА новых юзера IUER_SERVER и TsInternetUser. Снова инета нет у юезров.
Подскажите плз Что закрыть и запретить чтобы завтра у меня три новых учеток не появилось.
Последний раз редактировалось kri_zaraza; 17.11.2009 в 13:56.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Здравствуйте,
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
-Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('sethc.exe','');
QuarantineFile('C:\WINDOWS\Help\msiuec.exe','');
QuarantineFile('c:\windows\config\wins.exe','');
BC_ImportAll;
BC_Activate;
SetAVZPMStatus(True);
RebootWindows(true);
end.
Если у Вас после перезагрузки появится неизвестное устройство - удалите его через диспетчер устройств.
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.2 раздела правил Диагностика, новый лог прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
Спасибо за быстрый ответ!
Выполнила скрипт.
Удалила неизвестное устройство.
Закачала карантин
Прикручиваю логи.
-
2 файла отправлены на анализ, нужно подождать вердикта.
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
-Выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('c:\windows\config\222.exe','');
DeleteFile('c:\windows\config\222.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
- Закачайте карантин (см. дополнительную информацию Приложения 2 и 3 правил).
- Повторите в точности действия, описанные в пп.2 раздела правил Диагностика, новый лог прикрепите к новому сообщению.
-
-
Junior Member
- Вес репутации
- 53
-
Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\config\wins.exe');
ExecuteWizard('TSW', 2, 2, true);
DeleteService('Wmisrvs');
DeleteFile('c:\windows\config\wins.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
SetAVZGuardStatus(false);
RebootWindows(true);
end.
Компьютер перезагрузится.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 20
- В ходе лечения обнаружены вредоносные программы:
- c:\recycler\s-1-5-21-2028339374-4282820964-2444958970-1015\dc1.exe - not-a-virus:Server-Proxy.Win32.CCProxy.63
- c:\windows\config\wins.exe - not-a-virus:Server-Proxy.Win32.CCProxy.bv ( DrWEB: Program.CCProxy.61 )
-