Замучали трояны Pandex и др.

**Bratez** · 26.02.2008, 04:33

Делайте лог п.10 правил. Я через часик подойду.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**grom.acc** · 26.02.2008, 04:42

Вот лог. Спасибо, что возитесь со мной!

**grom.acc** · 26.02.2008, 06:07

Не дождалась.....Все равно,спасибо.

**wise-wistful** · 26.02.2008, 11:28

В карантине svchost.exe - Trojan.Win32.Inject.xy

**Bratez** · 26.02.2008, 13:16

grom.acc, извините, пришлось уехать надолго по работе

Выполните такой скрипт:

Код:

begin
 DelWinlogonNotifyByKeyName( 'WLCtrl32');
 RegKeyIntParamWrite('HKLM', 'SYSTEM\CurrentControlSet\Hardware Profiles\0001\System\CurrentControlSet\Enum\ROOT\LEGACY_Tgk14\0000', 'CSConfigFlags', '1');
 BC_QrFile('C:\WINDOWS\System32\drivers\Tgk14.sys');
 BC_DeleteSvc('Tgk14');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\Tgk14.sys');
 BC_Activate;
 RebootWindows(true);
end.

Сделайте еще раз лог syscheck и HijackThis.

**grom.acc** · 26.02.2008, 20:18

Спасибо, Bratez! Благодаря вам, вирусы похоже сгинули!

Не пойму, почему мой компьютер стал так уязвим для всякой заразы? AVZ определяет программу-переводчик(причем лицензионную), как возможный троян, почему так? Новые логи:

**grom.acc** · 26.02.2008, 20:20

А что делать с архивом карантина AVZ? Просто в карзину удалить?

**rubin** · 26.02.2008, 21:03

Бяку убили, все чисто.
Архив карантина: в AVZ Файл - Просмотр карантина - Очистить карантин - и все почистится.

На Lingvo ругался эвристик - переживать не о чем.

**grom.acc** · 26.02.2008, 22:16

Осталась одна проблема: соединение с интернетом не отключается (при нажатии на значек подключения, в правом нижнем углу - отключить). Выдается такое сообщение: "Не возможно отключить подключение в данный момент. Возможно, данное подключение использует один из протоколов, которые не поддерживают "Plug and Play", либо оно было инициировано другим пользователем или системной учетной записью".

**rubin** · 26.02.2008, 22:25

Попробуйте отключить еще раз.
Если не получится, то AVZ - Сервис - Открытые порты TCP\UDP
Лог прикрепите

**grom.acc** · 27.02.2008, 01:23

Я зашла в AVZ - открытые порты, но как сделать с этого лог?

**Bratez** · 27.02.2008, 03:03

Нажать значок в виде дискетки.

**grom.acc** · 27.02.2008, 05:28

Это я уже делала, но при отправке сюда, надпись "некорректный файл".

Добавлено через 2 часа 0 минут

Порты TCP/UDP

Порт Статус Remote Host Remote Port Приложение Примечания Порты TCP 135 LISTENING 0.0.0.0 10269 [1216] c:\windows\system32\svchost.exe Microsoft NET 139 LISTENING 0.0.0.0 36986 [4] System Microsoft NET 445 LISTENING 0.0.0.0 2109 [4] System Microsoft NET 1033 LISTENING 0.0.0.0 2048 [1884] c:\program files\common files\symantec shared\ccapp.exe 2666 ESTABLISHED 127.0.0.1 12080 [1708] c:\program files\internet explorer\iexplore.exe 2667 CLOSE_WAIT 216.246.90.119 80 [2464] c:\program files\alwil software\avast4\ashwebsv.exe 2668 ESTABLISHED 127.0.0.1 12080 [1708] c:\program files\internet explorer\iexplore.exe 2669 CLOSE_WAIT 216.246.90.119 80 [2464] c:\program files\alwil software\avast4\ashwebsv.exe 12025 LISTENING 0.0.0.0 57478 [2376] c:\program files\alwil software\avast4\ashmaisv.exe 12080 LISTENING 0.0.0.0 2240 [2464] c:\program files\alwil software\avast4\ashwebsv.exe 12080 TIME_WAIT 127.0.0.1 2660 [0] 12080 TIME_WAIT 127.0.0.1 2662 [0] 12080 TIME_WAIT 127.0.0.1 2664 [0] 12080 ESTABLISHED 127.0.0.1 2666 [2464] c:\program files\alwil software\avast4\ashwebsv.exe 12080 ESTABLISHED 127.0.0.1 2668 [2464] c:\program files\alwil software\avast4\ashwebsv.exe 12110 LISTENING 0.0.0.0 2176 [2376] c:\program files\alwil software\avast4\ashmaisv.exe 12119 LISTENING 0.0.0.0 63499 [2376] c:\program files\alwil software\avast4\ashmaisv.exe 12143 LISTENING 0.0.0.0 2272 [2376] c:\program files\alwil software\avast4\ashmaisv.exe Порты UDP 123 LISTENING -- -- [1368] c:\windows\system32\svchost.exe 123 LISTENING -- -- [1368] c:\windows\system32\svchost.exe 137 LISTENING -- -- [4] System Microsoft NET 138 LISTENING -- -- [4] System Microsoft NET 445 LISTENING -- -- [4] System 500 LISTENING -- -- [1000] c:\windows\system32\lsass.exe 1030 LISTENING -- -- [1444] c:\windows\system32\svchost.exe 1079 LISTENING -- -- [1444] c:\windows\system32\svchost.exe 1483 LISTENING -- -- [1444] c:\windows\system32\svchost.exe 1484 LISTENING -- -- [1444] c:\windows\system32\svchost.exe 1900 LISTENING -- -- [1496] c:\windows\system32\svchost.exe 1900 LISTENING -- -- [1496] c:\windows\system32\svchost.exe 2611 LISTENING -- -- [1708] c:\program files\internet explorer\iexplore.exe 4500 LISTENING -- -- [1000] c:\windows\system32\lsass.exe

**Bratez** · 27.02.2008, 06:46

Надо было его заархивировать в zip.

**grom.acc** · 27.02.2008, 19:31

Вот архив.

**rubin** · 27.02.2008, 19:33

symantec и avast - надо оставить что-то одно

**grom.acc** · 28.02.2008, 01:48

Bratez, а вы что думаете?

**Bratez** · 28.02.2008, 01:54

1. Удалите один из антивирусов.
2. Посмотрите, нужно ли вам что-то из этого списка:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику

Лишнее отключим.
Дальше будем посмотреть

**grom.acc** · 28.02.2008, 02:28

На счет служб, у меня нет мнения, я в этом совсем не разбираюсь, даже не знаю за что они отвечают. Если эти службы не нужны, рядовому пользователю, то полагаюсь на ваш выбор. По поводу безопасности, оставим все пункты, кроме последнего( я не очень понимаю о чем речь). Вы, тоже думаете, что интернет не отключить из-за 2 антивирусов? Тогда оставлю Simantec.

**Bratez** · 28.02.2008, 02:57

Вот скрипт для отключения ненужных сервисов:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.