Здравствуйте! Мне сказали, что с утра Symantec выводил сообщение то ли о наличии вируса, то ли трояна на компьютере. Вот я сделал логи, посмотрите их, пожалуйста. Буду вам очень признателен.:)
Printable View
Здравствуйте! Мне сказали, что с утра Symantec выводил сообщение то ли о наличии вируса, то ли трояна на компьютере. Вот я сделал логи, посмотрите их, пожалуйста. Буду вам очень признателен.:)
На время выполнения скритпа, отключитесь от сети и отключите антивирусный монитор. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\tcpip.sys','');
DeleteFile('C:\WINDOWS\system32\ntos.exe');
BC_DeleteSVC('FCI');
BC_Importall;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/code] Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке [url]http://virusinfo.info/upload_virus.php?tid=17214[/url] , как написано в прил. 3 правил, и сделайте логи, начиная с п. 10 правил. В дополнение: на машине был пинч - крайне рекомендуется поменять все пароли на данной машине - на учетные записи пользователей, записи электронной почты, интернет-пейджеры, итд.
Карантин закачал. Вот логи, выполненные в соответствии с правилами, начиная с п. 10. Пароли будем менять, спасибо за рекомендацию!:)
ntos.exe - [b]Trojan-Spy.Win32.Broker.as[/b]
tcpip.sys - чистый.
В логах больше ничего подозрительного.
Посмотрите, что вам нужно из этого:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
[/code]
Лишнее отключим.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Вот это еще можно пофиксить для порядка:
[code]O9 - Extra button: (no name) - SolidConverterPDF - (no file) (HKCU)[/code]
RemoteRegistry
Schedule
RDSessMgr
Вот эти 3 службы, точно не нужны :-) А строчку сейчас пофиксю.
Отключить их можно таким скриптом:
[code]begin
SetServiceStart('RDSessMgr', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
Спасибо большое за помощь!:-)