Недавно закрыли smpt-порт, так как с моего компьютера рассылался спам. Почистил систему avz, ad-aware, но есть подозрение что не до конца.
Printable View
Недавно закрыли smpt-порт, так как с моего компьютера рассылался спам. Почистил систему avz, ad-aware, но есть подозрение что не до конца.
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\Regsys.exe','');
QuarantineFile('C:\WINDOWS\System32\winlogin32.exe','');
QuarantineFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
В карантине нет этих файлов, а есть один с расширением sys
Просто пришлите [B]весь [/B]карантин после выполнения скрипта.
Я выслал, дошло?
Ничего вредоносного не найдено.
Для зачистки мусора пофиксите в HijackThis:
[code]
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
[/code]
и выполните скрипт в AVZ:
[code]
begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpanel');
RebootWindows(true);
end.[/code]
А еще неплохо бы закрыть потенциальные уязвимости:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
[/code]
Что-то из этого используете?
[quote=Bratez;132868]Ничего вредоносного не найдено.
Для зачистки мусора пофиксите в HijackThis:
[code]
O16 - DPF: {33331111-1111-1111-1111-611111193423} -
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl29bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl56bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll (file missing)
[/code]
и выполните скрипт в AVZ:
[code]
begin
RegKeyParamDel('HKEY_USERS','.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run','cpanel');
RebootWindows(true);
end.[/code]
А еще неплохо бы закрыть потенциальные уязвимости:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
[/code]
Что-то из этого используете?[/quote]
Как узнать или почитать что нужно из служб, а что нет. Заранее спасибо.
Ваш вопрос наводит на мысль, что если отключить все перечисленное, кроме пожалуй автозапуска CD, вы этого николько не заметите ;) Зато повысится безопасность и даже чуть-чуть производительность вашего компьютера. Для этого выполните следующий скрипт:
[code]
begin
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.[/code]
А почитать о службах можно в соответствующих разделах форума - посмотрите ЧаВо и разделы про Windows, была про это тема.
После всех процедур, проделанных вчера
Сегодня утром Kaspersky выдал
c:\windows\system32\spoolsvv.exe
инфицирован вирусом
trojan-proxy.win32.agent.om
Без СП2 в сети долго не живут.
Делайте новые логи по Правилам. Будем смотреть, что теперь поймали.
А как поставить sp2?
[QUOTE=PavelA;133197]Без СП2 в сети долго не живут.
Делайте новые логи по Правилам. Будем смотреть, что теперь поймали.[/QUOTE]
а затем ставить СП2 ... лучше на чистую систему...
Можно и на эту. Если винда лицензионная, то вам на виндус упдэйт.
Cureit вчера перед созданием логов в безопасном режиме нашел srvany.exe в system32. Хотя интуитивно - все чисто, может быть остались какие-то куски заразы? Также высылаю логи.
в логах чисто....
Винда, похоже, нелицензионная. После проверки Cure-It, если он удалил srvany.exe, то могла сломаться регистрация системы. Будьте готовы к переустановке.
srvany нет на диске, но система работает и вроде пока (тьфу-тьфу-тьфу)
все нормально
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Насчет лицензионности винды - не знаю. Покупал комп с уже установленной виндой.
Меня интересует что за перехватчики root в логах появляются всякие там sptd.sys и прочие
[QUOTE=Roman67;133500]Насчет лицензионности винды - не знаю. Покупал комп с уже установленной виндой.
Меня интересует что за перехватчики root в логах появляются всякие там sptd.sys и прочие[/QUOTE]
sptd.sys - это нормально. Alchogol установлен, либо daemon tools
А чего бояться от последствий удаления srvany?
И еще велика ли опасность заразиться если я сижу только на проверенных сайтах?
заразиться можно даже заходя [I]только на на проверенных сайты[/I] .... да еще с вашей дырявой СП1 .... необходимо поставить сп2 и все последующие обновления ....
вОТ Я УЖ СПРАШИВАЛ как поставить сп2. Для ламеров плис....
[URL="http://virusinfo.info/showthread.php?t=12044"]вот тут вопрос рассматривался[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]9[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]