Доброе время суток.
Не понравились в логи некоторые ошибки, просьба посмотреть-подсказать есть ли чего гадостного в системе, что невылечилось avir'ой и cureIt!'ом. Заранее спасибо.
Printable View
Доброе время суток.
Не понравились в логи некоторые ошибки, просьба посмотреть-подсказать есть ли чего гадостного в системе, что невылечилось avir'ой и cureIt!'ом. Заранее спасибо.
Эта программа вам известна? -
[b]FAH6.00beta1-Windows-Console[/b]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\soft\7work\zlibeng.dll:DELTA.3:$DATA','');
QuarantineFile('C:\soft\7work\zlibeng.dll:DELTA.1:$DATA','');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.exe');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{6D7B211A-88EA-490c-BAB9-3600D8D7C503}');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=16551[/url]).
Спасибо за ответ.
Служба известна, folding@home.
Скрипт выполнен, virus.zip отправлен.
Выполните скрпит в AVZ:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('K:\autorun.inf');
DeleteFile('K:\Recycled\ctfmon.exe');
DeleteDirectory('K:\Recycled');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки повторите лог syscheck (п.10 правил).
Во вложении.
PS. Диск К сетевой, авторан там постоянно восстанавливается, доступ к диску у многих, посему не особо критично.
[QUOTE=Shoo;173644]Во вложении.
PS. Диск К сетевой, авторан там постоянно восстанавливается, доступ к диску у многих, посему не особо критично.[/QUOTE]
Если сеть большая, а заботитесь только о своем компьютере, то не критично. В противном случае надо искать флешки и компьютеры, на которых живут autorun-ы и бороться с ними.
Иначе могут быть проблемы при работе сетки и отдельных рабочих мест.
Тогда надо лечить комп, где этот диск К локальный.
У вас больше ничего плохого нет.
Рекомендуется отключить все ненужное из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешены терминальные подключения к данному ПК
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Благодарю участников за ответы, всем спасибо :xmas:
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\bitaccelerator\\bitaccelerator.exe - [B]Trojan.Win32.ConnectionServices.e[/B] (DrWEB: Trojan.BitAcc)[*] k:\\autorun.inf - [B]Trojan.Win32.VB.aqt[/B] (DrWEB: Win32.HLLW.Autoruner.274)[/LIST][/LIST]