Трафик улетает

Printable View

06.09.2007, 16:22
cheetah

Вложений: 3

Трафик улетает

Папа говорит у него на компе трафик стал улетать куда-то, хотя все обновления вырублены и аутпост стоит, посмотрите логи плиз
06.09.2007, 17:02
PavelA

Надо установить AVZPM, перезагрузиться и сделать новые логи.
Кроме того, необходимо отключить "Восст. системы".
06.09.2007, 17:03
Muzzle

[B]Отключите восстановление системы![/B]
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('TlntSvr', 4);
SetServiceStart('RemoteRegistry', 4);
BC_QrFile('C:\COMMAND.COM');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать [B]весь[/B] карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12231[/url]
10.09.2007, 21:33
cheetah

Вложений: 2

Извиняюсь за задержку, карантин выслал, PM установил, вот новые логи
10.09.2007, 21:57
V_Bond

C:\COMMAND.COM в карантин не попал ... попробуйте поискать через AVZ- поиск файлов на диске .....
сделайте еще один лог [URL="http://virusinfo.info/showthread.php?t=10387"]как написано тут[/URL]
11.09.2007, 14:06
cheetah

[quote=V_Bond;133220]C:\COMMAND.COM в карантин не попал ... попробуйте поискать через AVZ- поиск файлов на диске .....
сделайте еще один лог [URL="http://virusinfo.info/showthread.php?t=10387"]как написано тут[/URL][/quote]
Новый карантин сейчас отправлю, а эти дополнительные логи в любом случае в безопасном режиме делать?
11.09.2007, 14:34
PavelA

[QUOTE=cheetah;133379]Новый карантин сейчас отправлю, а эти дополнительные логи в любом случае в безопасном режиме делать?[/QUOTE]

Да. Лучше в безопасном.
11.09.2007, 17:14
cheetah

Вложений: 1

Вот
11.09.2007, 17:22
Bratez

В логах нет ничего подозрительного.
Есть только потенциальные уязвимости:
[code]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: [COLOR="Red"]разрешен административный доступ к локальным дискам (C$, D$ ...)[/COLOR]
>> Безопасность: [COLOR="red"]к ПК разрешен доступ анонимного пользователя[/COLOR]
[/code]
Если впридачу запущены службы "Сервер" и "NetBIOS через TCP/IP", да еще Администратор без пароля, то не исключено, что некто нащупал лазейку и потихоньку тырит, к примеру, вашу коллекцию музыки... ;)
12.09.2007, 11:24
cheetah

Подскажите, что сделать, чтобы никто ниче не тырил :)
12.09.2007, 11:37
drongo

отключиться от интернета на совсем ;)))
а если серьёзно можно уменьшить шанс заражения/"тыриния", просто нужно во первых все выше перечисленные дырки закрыть.
вот скрипт:[code]
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.[/code]

службы "Сервер" и "NetBIOS через TCP/IP"
отключить , на администратора поставить пароль, гостей отключить.
на ограниченного юзера тоже поставить пароль ;)

1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
22.02.2009, 02:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]2[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]