win32/Fujacks.ad

[V_Bond]

тогда стоит закрыть все из этого списка ( если вы действительно никому не даете доступ по локалке )

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

[Алек(андр]

Машина внутри локальной сети www.tmpk.net

А вот и ... епрст опять

[PavelA]

Проверку по п.2 Правил делали? Я думаю в Вашем случае она не помешает.

[Shu_b]

Машина внутри локальной сети А вот и ... епрст опять

Так и будет, пока не отключите доступ к вашим расшаренным в сеть папкам.
данный файл забрасывается вам из сети.

[Алек(андр]

Проверку по п.2 Правил делали? Я думаю в Вашем случае она не помешает.

Вы об этом?

2. Перед проверкой желательно скачать утилиту от DrWeb - CureIT! и проверить систему (имеется ввиду полная проверка всех дисков, желательно записав перед этим саму утилиту на CD и уже из CD запустить утилиту)в безопасном режиме. ~5 mb После этого следует просто перегрузиться ( обычный режим).

Да, делал.

Добавлено через 4 минуты

тогда стоит закрыть все из этого списка ( если вы действительно никому не даете доступ по локалке )

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Как все это отключить? В управление/службы я этого не вижу. Есть только это NetMeeting Remote Desktop Sharing. Если есть какие то инструкци на снятие и установку доступа к дискам, дайте ссылку.

[Алек(андр]

Хуже то что мне непонятно почему к дискам C и D есть общий доступ в свойствах этого нет

[V_Bond]

папка - свойства - отменить общий доступ к папке ....

[PavelA]

У Вас есть административный доступ к дискам (с $) Это можно увидеть в "Управлении компьютером".

[Алек(андр]

папка - свойства - отменить общий доступ к папке ....

Я скриншоты выложил свойств дисков C и D у меня этот пункт (отменить общий доступ к папке) почему то неактивен.

Добавлено через 12 минут

У Вас есть административный доступ к дискам (с $) Это можно увидеть в "Управлении компьютером".

Зашел в УПРАВЛЕНИЕ вижу ОБЩИЕ РЕСУРСЫ, но как их администрировать не пойму.

[PavelA]

Самым простым способом это можно через AVZ сделать (внизу в логе есть ссылки на соотв. пункт для скрипта), или через редактор политик, или редактор реестра.

[kps]

Чтобы отключить всё из списка, указанного в посте номер 21, Вы можете выполнить следующий скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Компьютер перезагрузится.

[Алек(андр]

Самым простым способом это можно через AVZ сделать (внизу в логе есть ссылки на соотв. пункт для скрипта), или через редактор политик, или редактор реестра.

Нашел в логе

Дополнительные операции:Оптимизация - отключить службу RemoteRegistry (Удаленный реестр)Оптимизация - отключить службу TermService (Службы терминалов)Оптимизация - отключить службу SSDPSRV (Служба обнаружения SSDP)Оптимизация - отключить службу Schedule (Планировщик заданий)Оптимизация - отключить службу mnmsrvc (NetMeeting Remote Desktop Sharing)Оптимизация - отключить службу RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)Оптимизация - безопасность - отключить автозапуск программ с CDОптимизация - безопасность - отключить административный доступ к локальным дискамОптимизация - безопасность - блокировать возможность подключения анонимных пользователейБезопасность - запретить отправку приглашений удаленному помошнику


Это?

Вопрос, скрипты выполнять по одному и надо ли как то "предохраняться"? Отключать ли антивирус и востановление системы?

Добавлено через 3 минуты

Чтобы отключить всё из списка, указанного в посте номер 21, Вы можете выполнить следующий скрипт в AVZ:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сейчас рискнем. Но вопрос тот же с отключением востановления и антивирусом, надо ли их отключать?

[V_Bond]

антивирус и восстановление можно не отключать ...

[Алек(андр]

Прогнал скрипт остались общими

IPC$
Print$
SharedDocs
Принтеры

Я провел еще раз сканирование при помощи AVZ. Сейчас в карантине на подозрении 3 объекта. Надо ли их Вам прислать?

[V_Bond]

лог авз прикрепите ....

[Алек(андр]

Протокол не цеппляется почему то. Avz_log.txt
Поудалял картинки.

[Алек(андр]

еще раз

[kps]

AVZ => Файл => Мастер поиска и устранения проблем. Категория проблемы - поставьте "Системные проблемы", степень опасности - "Все проблемы". Нажмите "Пуск". Всё найденное следует пометить и пофиксить. Данную операцию повторить для категории "Настройки и твики браузера".

Какие файлы у Вас на подозрении? Можете прислать в архиве с паролем virus (загружать здесь: http://virusinfo.info/upload_virus.php?tid=20882)

[Алек(андр]

Сделал.
А что с этим делать?
C:\WINDOWS\system32\DrvTrNTl.dll --> Подозрение на Keylogger или троянскую DLL
Пусть живет?

Добавлено через 7 минут

Отправил

Файл сохранён как 080403_091852_virus_47f4e74c60b8e.zip
Размер файла 590871
MD5 27c480b08c1e93f9769bb25a81fb140c

[V_Bond]

файл чистый это от Total Recorder установлен такой ?