-
Профилактика зловредов
День добрый.
Давненько хотел провериться... Уровень безопасности - выше среднего. Работающий касперский с обновлением базы каждые 3 часа, аутпост, отключенные активХ сценарии, относительно новые заплатки виндоус по январь 2007...
сегодня просто зашел на сайт нашей местной газеты sevkray.ru и касперский просигналил о packed.win32.polycrypt.d
файл msntdhty.exe появился в корне диска "с"... был заблокирован и удален каспером...
решил провериться на всякий случай... хотя признаков зловреда вроде нет... если только эта гадость какую-нибудь инфу конфиденциальную не сперла....
давненько такого не было с момента установки заплаток... что вирус устанавливает какие-то файлы в неположенных местах.... обычно каспер все детектил и блокировал на уровне темпорари_интернет_файлз.....
еще не понравился тот факт что то ли я сам в попыхах, когда снимал процессы и выдергивал провод, то ли вирус.... отрубил аутпост... вот это мне не понравилось, мало ли кто что сделать пытался в момент отключенного файрволла и контроля компонентов ))
прилагаю логи....
заранее спасибо
-
1.[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Developing.ru\seobar\seobar.dll','');
QuarantineFile('C:\DOCUME~1\7010\LOCALS~1\Temp\tskyinst.exe','');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Прислать[B] весь[/B] карантин согласно [b]приложения 3 [url=http://virusinfo.info/showthread.php?t=1235]правил [/url][/b].
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=[/url]
2.Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)[/CODE]
Скажите что из этого вам нужно?остальное исправим
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
-
Большое спасибо за ответ.
[QUOTE] QuarantineFile('C:\Program Files\Developing.ru\seobar\seobar.dll','');[/QUOTE]
это сеобар... установлен у многих сео-мастеров....
[url]http://www.developing.ru/seobar/[/url]
показывает бэклинки, страницы в индексе, войс сайтов и т.п.
эта штука у меня на двух компах установлена и у многих знакомых... я в ней уверен...
[QUOTE] QuarantineFile('C:\DOCUME~1\7010\LOCALS~1\Temp\tskyinst.exe','');[/QUOTE]
касаемо этого файла... он отсутствует полностью на диске почему-то... делал поиск по файлу.. смотрел вручную... нету его....
а связан он с teles skydsl... это ПО спутникового провайдера, как и прочие tsky...exe файлы.... видимо был связан с инсталляций ПО скайлдсл....
рад бы засунуть его в карантин, да отсутствует он на диске.... вероятно я удалил всё в папке temp, когда освобождал место на диске..... а строка в реестре осталась...
учитывая вышеизложенное, мне все же выполнять скрипт, описанный вами выше?
[QUOTE]O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)[/QUOTE]
пофиксил...
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику [/QUOTE]
признаться честно я не знаю.. нужно мне это или нет...
у меня обычный домашний ноутбук... нужен интернет.....
выхожу через домовую сеть корбины (исходящий трафик)
входящий трафик принимаю через спутник скайдсл....
и я даже не знаю нужны ли мне эти службы или нет исходя вышеперечисленного...
а они действительно опасны? и через них могут проникнуть здовреды?
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
удалил эту строку
O4 - HKCU\..\RunOnce: [skyDSL Installation] C:\DOCUME~1\7010\LOCALS~1\Temp\tskyinst.exe --data "C:\Downloads\sat\skyDSL 7.5g\data\\"
при помощи регклинера....
больше указание на tskyinst.exe не отсвечивает нигде
все без него нормально работает...
-
[QUOTE='Beirut;132981']относительно новые заплатки виндоус по январь 2007[/QUOTE]
Сентябрь уже на дворе. IE патчился раз пять.
-
я, кстати, ие не апдейтил вроде...
только заплатки виндоус ставил отсюда [url]http://www.microsoft.com/downloads/browse.aspx?NextOrPrevClause=1%7c-11%2f21%2f2006%2010%3a04%3a57.947&DisplayLang=ru&productID=4C937A02-BAE0-4317-A1A9-0C56CD979D05&sortCriteria=date&sortOrder=descending&nr=20[/url]
надо и ИЕ проадейдить? или лучше 7 установить?
сколько же здесь изменений [url]http://www.microsoft.com/downloads/results.aspx?NextOrPrevClause=1%7c-08%2f13%2f2007%2017%3a19%3a02.930&DisplayLang=ru&productID=5A8BB164-5FC3-4BE5-95BB-BA73EEED1CA6&sortCriteria=date&sortOrder=descending&nr=20[/url]
дык где отключаются эти службы?
скажите, пожалуйста....
и какие на первый взгляд нужно оставить?
я конечно про них еще почитаю в сети.. прежде чем отключать
[QUOTE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/QUOTE]
-
вы решите какие вам необходимы, а для отключения сделаем вам скрипт...
-
спасибо... знать бы мне еще что это за службы такие ))
-
[QUOTE='Beirut;133230']я, кстати, ие не апдейтил вроде...[/QUOTE]
Вот и получили:
[QUOTE='Beirut;132981']сегодня просто зашел на сайт нашей местной газеты sevkray.ru и касперский просигналил о packed.win32.polycrypt.d[/QUOTE]
[QUOTE='Beirut;133230']надо и ИЕ проадейдить? или лучше 7 установить?[/QUOTE]
Решать вам, но либо то, либо другое надо сделать обязательно. Кстати, и на "семёрку" уже патчи имеются.
-
Вот этот скрипт, отключит службы которые не повлияют на нормальную работоспособность вашего ПК.
[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/CODE]
Подробнее о службах можно узнать в разделе [URL="http://virusinfo.info/forumdisplay.php?f=70"]Чаво[/URL]
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи!
Page generated in 0.01410 seconds with 10 queries