-
Junior Member
- Вес репутации
- 60
Постоянно порождается трафик (и вход, и выход), тормозит про загрузке, AVZ ругается на svchost.exe
1.Трафик (вход+выход) порождается постоянно, иногда просто "забивает" сеть, сетевое соединение показывает огромные цифры исходящего траффика, хотя сервер статистики их не фиксирует.
2. При загрузке система стартует нормально, все работает, но подормаживает запуск некоторых программ, и в диспетчере приложений не отображает "имя пользователя" для процесса, спустя секунд 20-25 система начинает показывать и это.
3. C:\WINDOWS\Svchost.exe файл, AVZ на него ругается, и там ему не место, возможно причина в нем?
4. Файла Info.exe на компьютере нет.
Прошу помощи, так как работать с интернетом просто невозможно.
Последний раз редактировалось Nobil; 20.01.2008 в 11:51.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт ....
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\svchost.exe','');
QuarantineFile('c:\windows\system32\..\svchost.exe','');
DeleteFile('c:\windows\system32\..\svchost.exe');
DeleteFile('C:\WINDOWS\svchost.exe');
BC_DeleteSvc('msupdate');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
повторите логи ....
-
-
торопитесь .... карантин загружать по ссылке над темой ....
из темы убрать ...
-
-
Junior Member
- Вес репутации
- 60
Исправил, вот новые логи.
Спасибо за терпение.
Последний раз редактировалось Nobil; 20.01.2008 в 11:52.
-
не вижу больше ничего подозрительного ....
надеюсь проблем больше нет ....
что из этого используется ?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
-
Junior Member
- Вес репутации
- 60
Да, действительно проблем больше нет, спасибо.
Ничего из перечисленного не используется. Службы я остановил через адиминистрирование компьютера, а вот это:
Безопасность: разрешен автозапуск программ с CDROM
Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
Безопасность: к ПК разрешен доступ анонимного пользователя
Безопасность: Разрешена отправка приглашений удаленному помошнику
где отключить незнаю.
Последний раз редактировалось Nobil; 24.12.2007 в 15:13.
-
можно отключить ...
выполнив скрипт ...
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 2
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\svchost.exe - Trojan.Win32.Agent.diu (DrWEB: Trojan.DownLoader.3750
- c:\\windows\\system32\\..\\svchost.exe - Trojan.Win32.Agent.diu (DrWEB: Trojan.DownLoader.3750
-