Возможно вирус

Printable View

06.09.2007, 19:21
TYP

Возможно вирус

Мучают меня смутные сомнения. Касперский выдаёт сообщение: Потенциально опасное ПО (Invader). Посмотрите, пожалуйста, логи.
06.09.2007, 20:43
V_Bond

профиксите
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
[/code]
выполните скрипт....
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('\SystemRoot\system32\drivers\sisidex.sys','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин соглано приложения 3 правил ...
07.09.2007, 15:27
TYP

Отослал карантин. Жду резюме.
07.09.2007, 16:38
AndreyKa

Новый лог hijackthis сделайте.
Сообщение: Потенциально опасное ПО (Invader) пропало?
07.09.2007, 17:08
TYP

Сообщение пропало

Высылаю новый лог
07.09.2007, 17:11
Bratez

Больше ничего подозрительного не видно.
sisidex.sys - это очевидно драйвер IDE для чипсета SiS.

Однако ntos.exe штука дюже вредная. Я бы советовал сделать новые логи AVZ на всякий случай.
07.09.2007, 17:55
TYP

Высылаю логи

На всякий случай;)
07.09.2007, 18:05
Bratez

Теперь точно все в порядке.
Для полного счастья осталось пофиксить потенциальные уязвимости:
[code]
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что из этого нужно - скажите, остальное исправим.