не знаю хорошо ли это или плохо, но в HijackThis нет такой строчки. Делать логи без пункта 2?
Printable View
не знаю хорошо ли это или плохо, но в HijackThis нет такой строчки. Делать логи без пункта 2?
что нет - это хорошо ...
Строчки нет, хорошо ;) Значит AVZ сам уже почистил...
и TrafInspAg_Tollbar.dll не видать тоже... сейчас сделаю логи. я близок к выздоровлению?!:D
Ждем логов...
логи...
в логах чисто .... осталось пофиксить ...
[code]
O3 - Toolbar: &Traffic Inspector Agent - {3F5A62E2-51F2-11D3-A075-CC7364CAE42A} - H:\WINDOWS\system32\TrafInspAg_Tollbar.dll (file missing)
[/code]
и разобраться с этим ...
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Messenger (Messenger)
>> Службы: разрешена потенциально опасная служба Alerter (Alerter)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
подскажите, пожалуйста, как по запрещать эти опасные службы. Кроме "автозапуск программ с CDROM" эти службы мне ни про что не говорят, так что, думаю, проживу и без них:)
в целом же, всем вам ОГРОМНОЕ СПАСИБО за помощь. вы - профи!!! дальнейших вам успехов в вашем нелегком деле, ну а уж мы работку вам подкинем!;)
закрываем потенциальные уязвимости ...
выполните скрипт ...
[code]
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.
[/code]
А скрипт уже сделали :)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] h:\\windows\\system32\\drivers\\runtime2.sys - [B]Rootkit.Win32.Agent.jp[/B] (DrWEB: Trojan.NtRootKit.422)[*] h:\\windows\\temp\\startdrv.exe - [B]Trojan-Spy.Win32.KeyLogger.rp[/B] (DrWEB: BackDoor.Bulknet)[/LIST][/LIST]