Здравствуйте!
Прошу о помощи. Проблема следующего характера: при очередном сканировании системы NOD32 выловил два заражённых файла — ip6fw.sys и smtpdrv.sys. Оба вручную были добавлены в карантин. После перезагрузки и повторного сканирования ip6fw.sys уже не помечается как заражённый, с ним проблем нет. Однако после загрузки Windows NOD32 указывает на два объекта:
Оба файла автоматически удаляются и помещаются в карантин. После перезагрузки всё повторяется снова.
Логи прилагаю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Проблемы решены?
Что из этого не нужно?
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Залечил его путём удаления и добавления в карантин. Перезагрузился — всё в порядке. В Outpost тоже никакой необычной активности не наблюдается.
rubin, не знаю, что именно из этого стоит убрать, но машина у меня в локалке, поэтому нужен доступ к расшаренным папкам и принтеру. Остальные перечисленные службы вроде как не задействованы.
Ещё раз проверил C:\WINDOWS\ с помощью NOD32, ничего не найдено.
Временную папку очистил, там остался только файл JETAE22.tmp, который удалить не удаётся (попробовать через безопасный режим?).
Благодарю Maxim, Bratez и rubin за оказанную помощь!
Интересует только вопрос: как NOD32 пропустил эту дрянь на машину и почему Outpost разрешал неустановленному (n/a) процессу открывать по 4000 портов (хотя у меня выбран режим блокировки)?
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: