Добрый вечер!
Обнаружил несколько троянов на ноутбуке. Один из них пытался отсылать 20-30 сообщений ежеминутно через почтовый клиент. В Safe-mode несколько раз прогнал Symantec Antivirus, F-Secure, DrWeb, Spybot, AVZ. Что-то убил (рассылка, вроде, прекратилась), но F-Secure каждый раз снова что-то находит (имена в заголовке). Подскажите, пожалуйста, что можно пофиксить и какой скрипт запустить. Спасибо!
С уважением,
Quark
профиксите
[code]
O20 - Winlogon Notify: ati2kaag - ati2kaag.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\svchost.exe:exe.exe');
BC_DeleteSvc('ICF');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
это вам все нужно ?
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[size="1"][color="#666686"][B][I]Добавлено через 10 минут[/I][/B][/color][/size]
выполните скрипт ...
[code]
begin
QuarantineFile('C:\Program Files\Common Files\Microsoft Shared\VS7Debug\mdm.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
вішлите карантин согласно приложения 3 правил ....
[quote=V_Bond;130492]
Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
[/quote]
Отключил.
[quote=V_Bond;130492]
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
[/quote]
Отключил. Для Wi-fi нужно будет включить, правильно?
[quote=V_Bond;130492]
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
[/quote]
Прочитал [URL]http://virusinfo.info/showthread.php?t=4244[/URL], но у меня XP, параметров AutoShareServer, AutoShareWks в реестре не нашел. Подскажите, пожалуйста.
[quote=V_Bond;130492]
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/quote]
Тоже не нашел, как отключить.
В следующем сообщении вышлю логи AVZ, Hijack.
Спасибо за потраченное время!
[URL="http://virusinfo.info/showthread.php?t=2768"]можно подчерпнуть информацию по отключению служб[/URL]
[URL="http://lantoolbox.com/download/lantricks/lansafety_setup.exe"]програмка для отключения дооступа к локальным дискам (C$, D$ ...)[/URL]
А вот и логи.
карантина не вижу ....
уберите карантин из сообщение его нужно отправлять [B]только[/B] по ссылке вверху тему!
[quote=Muzzle;130547]уберите карантин из сообщение его нужно отправлять [B]только[/B] по ссылке вверху тему![/quote]
Убрал. Еще раз отправил вверху. Извините, не знал.
в логах чисто ....
[quote=V_Bond;130552]в логах чисто ....[/quote]
Все потенциальные уязвимости устранил. Большой респект!
[QUOTE]Отключил. Для Wi-fi нужно будет включить, правильно?[/QUOTE]
Нет, не нужно.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!
Удачи!
Спасибо, файлы вышлю. Вам также удачи!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]