-
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
DelBHO('{700259D7-1666-479a-93B1-3250410481E8}');
DelBHO('{58ECB495-38F0-49cb-A538-10282ABF65E7}');
QuarantineFile('C:\WINDOWS\System32\t0.dll','');
DeleteFile('C:\WINDOWS\System32\t0.dll');
AutoFixSPI;
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
Загрузите карантин по этой ссылке. Повторите логи.
Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту WinSockFix. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.
-
-
Карантин не создался, т.к. диэлельку и инишку снес до этого ручками..
восстановить и прислать?
про настройки сети - у нас все ходы записаны.. (с)
-
-
Сообщение от
Karlson
восстановить и прислать?
Ни в коем случае!
-
-
Сообщение от
Maxim
Ни в коем случае!
тогда дальнейшие действия требуются?
-
-
-
-
-
-
Сообщение от
Maxim
Повторите логи.
получИте и распишитесь.
Последний раз редактировалось Karlson; 13.11.2008 в 00:25.
-
-
Все в порядке. Пофиксите строчку в HijackThis:
Код:
O20 - Winlogon Notify: arm32reg - C:\WINDOWS\
Рекомендуется отключить все что вам не нужно из этого:
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Последний раз редактировалось Bratez; 20.12.2007 в 14:16.
I am not young enough to know everything...
-
-
Спасибо
Сообщение от
Bratez
Рекомендуется отключить все что вам не нужно из этого:
пусть пока повисит.. до обеда, а там разберемся..
-
-
Можно отключить скриптом
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '2201', 3);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
end.
-
-
Спасибо всем. комп просто выдается гостям, поэтому если наставить защит или что-то отключить могут возникнуть ненужные вопросы и претензии. поэтому приходится разбираться "постфактум"... Если посоветуете что-то, что просто логи делает, но работе не мешает (дабы потом можно было глянуть, что народ наваял) - буду благодарен.
-