NOD32 обнаружил Win32/Agent.OH и какой-то пинч.

[luk]

Добрый вечер. Вчера NOD обнаружил Win32/Agent.OH троян. После этого отрубился диспетчер задач и в автозагрузке появилась куча левых файлов типа kernelwin32.dll и ve3452gf... Вообщем вроде я их из автозагрузки и из системы удалил вроде. Просканил NOD-ом вроде ничего не нашел, но недавно опять выдал что заражен файл csrss.exe каким-то Win32/PSW.LdPinch.NEL. Вроде удалил его после перезапуска тоже. Но все-таки прошу еще раз посмотреть все ли в порядке. Спасибо.

[luk]

Вот логи

[PavelA]

Вот вам скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\csrss.exe','');
 DeleteFile('C:\WINDOWS\csrss.exe');
 BC_DeleteFile('C:\WINDOWS\csrss.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки загрузить карантин согласно Приложения 3 Правил.

[luk]

Я файл отправил. Но по-моему ничего там нет. Может NOD все почистил? Сейчас еще разок проверю и все.

[PavelA]

Да, карантин пуст. Надо было Нод отключить.

Делай новые логи. Будем смотреть, что осталось.

[luk]

Вот новые логи

[PavelA]

В логах зверья не вижу.
Что из этого можно отключить для повышения уровня безопасности:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Кстати, r_admin сами ставили?

[luk]

Разрешена отправка приглашений удаленному помошнику,разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр),разрешена потенциально опасная служба Schedule (Планировщик заданий),разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing),к ПК разрешен доступ анонимного пользователя - Эти, в принципе, можно отключить. Но я могу и через диспетчер это сделать. А вы предлагаете скрипт? Или как? и сильно ли они влияют на безопасность? Спасибо за помощь.

Добавлено через 2 минуты

Да, R admin ставил сам. И настраивал тоже. Насчет угроз наслышен про него.

[PavelA]

Можешь ручками отключить, а можно и в AVZ скрипт сделать.

Если комп сетевой, то гостя отключать методами AVZ не следует. Лучше через "Управление компьютером".

В "Планировщик" часто вирусы в качестве заданий садятся.
"Удаленный реестр" - кто-нибудь сбоку реестр может подредактировать.

[luk]

Все что потенциально опасно было, отключил сам. Спасибо за оперативные ответы и работу.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 4
• В ходе лечения вредоносные программы в карантинах не обнаружены