Прошу о консультацыи

Printable View

03.11.2007, 01:06
faruss

Вложений: 3

Прошу о консультацыи

Здравствуте,проконсультируте пожалуста.Борусь сам точно не знаю счем уже неделю.После очередного посешения нета мой комп.заболел не мог соеденится с интернетом и много других неприятностей.Переустонавливал систему несколько рас,после 10-20 минут тоже самое.Установил АVK,просканировав систему,выдал такую тему"Virus JS/Para*,Datei s_code_H9(1).js Verzeichnis:C:/Dokumente und Einstellungen/Ruslan/Lokale Einstellungen/Temporary Internet Files/content.IE5/U781U3YB.Удалив ого вновь начинается тоже самое.Оставив его в карантине вродебы со связью нет проблем но начели другие програми иногда зависать.Посетив ваш сайт понял от кого можно получить помощ.Зарание благодарен!
03.11.2007, 02:26
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\interceptor.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
03.11.2007, 15:14
faruss

Вложений: 1

Спасибо за уделённое мне время
03.11.2007, 15:24
Bratez

Уберите карантин из сообщения!

Файлы в карантине чистые, в логах ничего подозрительного более не вижу.
03.11.2007, 16:00
faruss

В AVK весит 3 даты в каронтине и в отчотах AVZ осталось пару красных строк,что с этим делать?
03.11.2007, 16:09
zerocorporated

Вот с этим нужно разобратся:
[CODE]
>> Службы: разрешена потенциально опасная служба TermService (Terminaldienste)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP-Suchdienst)
>> Службы: разрешена потенциально опасная служба Schedule (Taskplaner)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting-Remotedesktop-Freigabe)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Sitzungs-Manager fur Remotedesktophilfe)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/CODE]

Что из этого нужно ?
03.11.2007, 17:30
faruss

я не совсем четко понимаю что за что отвечает из этих служб,бес вашей помощи нерасберусь
03.11.2007, 17:32
V_Bond

[URL="http://www.oszone.net/2357/Services"]службы Windows[/URL]
03.11.2007, 19:03
faruss

Судя повсему я ненуждаюсь в даных службах,вот только на счот SSDPSRV службы не пойму нужна она или нет.Безопасность:2 последних пункта,как я понимаю тоже опасны?
03.11.2007, 19:21
V_Bond

это для подключения Plug nPlay-уств, при помощи протокола PPP .... думаю необходимости в ней нет ...
этот скрипт закрывает все.... оставлен только автозапуск программ с CD
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
RebootWindows(true);
end.
[/code]
03.11.2007, 19:27
faruss

скрипт я могу черес AVZ выполнить?
03.11.2007, 19:29
V_Bond

конечно....
03.11.2007, 19:58
faruss

скрипт был выполнен,пк перезагрузился AVZ протоколируетC:\Programme\AOL 9.0\idleproc.dll --> Подозрение на Keylogger или троянскую DLL
C:\Programme\AOL 9.0\idleproc.dll>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, мышь
C:\Programme\AOL 9.0\idleproc.dll>>> Нейросеть: файл с вероятностью 99.93% похож на типовой перехватчик событий клавиатуры/мыши
03.11.2007, 20:10
V_Bond

это от вашего флеш плеера ... иногда его считают вредоносным .... но в принципе ничего особо вредного не делает [URL="http://www.rosinvest.com/news/222731/"] вот [/URL] .... можете деинсталировать через установку удаление программ ...
03.11.2007, 23:35
faruss

Большое вам спосибо за проф.консультацию,что поелзного для моего случая можете предложить,ещо рас благодарю вас за уделённое мне время
03.11.2007, 23:39
V_Bond

По возможности для работы в интернет, не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов) ....
прочитайте [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".