Нашёл у себя Trojan.Spy.Banker, но не уверен что полностью его выгнал. К тому же есть какая-то сетевая активность которую не могу понять, помогите пожалуйста.
Нашёл у себя Trojan.Spy.Banker, но не уверен что полностью его выгнал. К тому же есть какая-то сетевая активность которую не могу понять, помогите пожалуйста.
[FONT="Fixedsys"][I]Не ошибается тот, кто ничего не делает[/I][/FONT]
В логах чисто. Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Кстати, если был Trojan-Spy, то надо бы сменить все пароли...
Комп домашний, второй пользователь - жена с правами юзера, поэтому нужна TermService (Службы терминалов)
Не совсем разобрался для чего нужна служба SSDPSRV точнее что за устройства UPnP
NetMeeting Remote Desktop Sharing - не нужна
RDSessMgr - не нужна
разрешен автозапуск программ с CDROM - ненадо
разрешен административный доступ к локальным дискам (C$, D$ ...) - не надо ??
к ПК разрешен доступ анонимного пользователя - не нужнен
Trojan Remover классифицировал именно Trojan.Spy.Banker
Добавлено через 2 минуты
а хотя автозапуск с сидюка нужен только для жены, если можно так разграничить
Последний раз редактировалось fi9hter; 29.11.2007 в 22:33. Причина: Добавлено
[FONT="Fixedsys"][I]Не ошибается тот, кто ничего не делает[/I][/FONT]
Административный доступ - для локальных сетей.Код:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('SSDPSRV', 4); RebootWindows(true); end.
Локалка есть и нужна))
Добавлено через 16 минут
Скрипт выполнил без ошибок, ответьте пожалуйста на вопрос можно ли разграничить между пользователями автозапуск CD? Одному разрешить, другому запретить?
Добавлено через 1 минуту
Да, и какие пароли сменить, локальные или на серверы и.т.д. тоже??
Последний раз редактировалось fi9hter; 29.11.2007 в 22:58. Причина: Добавлено
[FONT="Fixedsys"][I]Не ошибается тот, кто ничего не делает[/I][/FONT]
Пароли - все, которые хранились на инфицированном компьютере...
Насчет ограничения - вроде нельзя, лично я не знаю как
спасибо за оперативную помощь и дельные советы, тему прошу считать закрытой.
[FONT="Fixedsys"][I]Не ошибается тот, кто ничего не делает[/I][/FONT]
Уважаемый(ая) fi9hter, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.