Подскажите плиз, что почистить что бы избавиться от этой ошибки.
Подскажите плиз, что почистить что бы избавиться от этой ошибки.
Пофиксите в HijackThis:
[code]
F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\drivers\ntndis.exe
[/code]
Выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Сделайте новые логи, начиная с п.10 правил.
Карантин выслал.
Чисто.
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Оффтоп: Это на потом, но для корректного удаления Панды существует тул:
[url]http://www.pandasecurity.com/resources/sop/UNINST_v1012.exe[/url]
Paul
[quote=rubin;165140]Чисто.
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) ----[COLOR=blue]не знаю что это[/COLOR]
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)----[COLOR=blue]не знаю что это[/COLOR]
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)---[COLOR=blue]не знаю что это[/COLOR]
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)----[COLOR=red]не нужно[/COLOR]
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)----[COLOR=red]не нужно[/COLOR]
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)---[COLOR=red]не нужно[/COLOR]
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM---[COLOR=blue]нужно[/COLOR]
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)---[COLOR=blue]не совсем понятно что это[/COLOR]
>> Безопасность: к ПК разрешен доступ анонимного пользователя---[COLOR=red]не нужно[/COLOR]
>> Безопасность: Разрешена отправка приглашений удаленному помошнику---[COLOR=red]не нужно[/COLOR][/quote]
.
Тогда спросим по другому - локальная сеть имеется? :)
нет
значит оставляем только автозапуск ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]1[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.me[/B] (DrWEB: Trojan.Proxy.1824)[/LIST][/LIST]