Началось с того что winlogon полез в инет. C помощью OutPost присек его поползновения, т.к. раньше winlogon в нет не лазил. После решил узнать кто такой этот winlogon и что он забыл в сети. Выяснилось, что это проделки вируса. Засканил копм NODом. NOD говорит что типо троян (имя не помню) и надо его удалять. Удалил. Перезагрузка. Снова троян там же и тотже, плюс startdrv.exe ломится в нет стал за что и получил OutPostом. Почитал форум. Слазил в реестр и удалил startdrv.exe из автозагрузки. Сам файл удалить не удалось т.к. типо занят какой-то программой. Reset. Ищу startdrv, а его типа нету. Снова сканю NODом, блин оказывается startdrv жив по тому же адресу, но для меня уже не видим. Следующий прикол после всех этих манипуляций: запущено ДВА winlogon'а один system другой от моего имени. Тут я уже сдался и решил просить помощи, но перед этим засканил все WEBом и он пришиб еще какого-то трояна. Winlogon теперь один.
AVZ говорит о руткитах и трояне в родном софте от мышки.
Дяденьки, помогите понять были-ли пойманы все засланцы или нет. Логи прикладываю.
Заранее спасибо.
С уважением, Lechanet
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
CureIt похоже справился со своей задачей очень хорошо,авз показывает перехваты от фаервола.
Вот млин, пишется всё одним абзацем, sorry поправить че-то не получается. Карантин выслал. По поводу перехвата клавиатуры- родной софт от логитех отображает нажатие клавишь caps lock и т.п. на экране надписями. Может это как-то облегчит задачу исследования карантина.Хочу спросить1. пофиксить=отключить, если да, то сам поотключаю ненужные службы в диспетчере.2. что перехватывает OutPost или как это узнать?3. по поводу безопасности - у меня через вай-вай КПК к ПК подключается и как раз в гостевом режиме и это не good, сам понимаю, но как сделать good не знаю (случайно не подскажите или дайте ссылочку что можно почитать по этому поводу)4. почитав форум решил сменить IE на Opera (говорят дыр меньше для всяких нехорошестей). Пришел на форум при авторизации мне написали:In order to accept POST request originating from this domain, the admin must add this domain to the whitelist. Где искать этот whitelist? Так что из IE пишу.5 разачарован в NODe- со свежими базами проглядел вирусы, которые сам же и обнаружил при сканировании (чем был занят монитор-модуль не понятно). Понимаю,что панацеи от вирусов нет, и, антивирусы на шаг позади вирусов, но все-таки подскажите достойный антиврь. Раньше AVK использовал, но после появления Noda стал юзать его (типа быстрее, ресурсов меньше ест, но разницы я не заметил). Может зря?Заранее спасибо.С уважением, Lechanet
Последний раз редактировалось Lechanet; 05.12.2007 в 00:02.
1 нет ... службы можно отключить... пуск - панель управления - администрирование службы ..
2 видно ...
3 мастер беспроводной сети ...
4 не понял на какой форум ...
5 имхо зря http://virusinfo.info/showthread.php?t=14459
1 нет ... службы можно отключить... пуск - панель управления - администрирование службы ..
2 видно ...
3 мастер беспроводной сети ...
4 не понял на какой форум ...
5 имхо зря http://virusinfo.info/showthread.php?t=14459
1 что лучше пофиксить или в ручную отключить?
2 видно где?
3 будем изучать
4 Virusinfo/Помогите
5 понял исправлюсь
6 Млин, второй ответ одним абзацем,что за фигня? Пришлось буковки р с галочками ручками писать.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: