-
Junior Member
- Вес репутации
- 59
Проблемы с IE
Здравствуйте! нашла вас через домашнюю страничку Saule, которая давно-давно мне помогла на другом форуме исправить неполадки. Начал глючить Internet Explorer и прыгать слегка стрелка.. что заставило сразу закачать Dr.Web CureIt и просканировать систему.. Были найдены трояны, что-то Доктор вылечил, что-то удалил.
Приложила логи, запрашиваемые вами для исследования проблемы. Посмотрите пожалуйста, что в них есть подозрительного.
Спасибо
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
в логах ничего подозрительного ...
какие проблемы наблюдаются ?
-
-
Junior Member
- Вес репутации
- 59
Спасибо за хорошие новости! Неужели Dr.Web все вытащил? или вместе с AVZ !
Не открывался Эксплоер, вернее открывался "как в замедленной съемке" о-о-чень замедленной..
-
Junior Member
- Вес репутации
- 59
Как можно запретить доступ анонимного пользователя!
Здравствуйте.
Как я могу запретить доступ анонимного пользователя? и запретить вот эту службу "Разрешена отправка приглашений удаленному помошнику"
Также насколько службы ниже необходимы и как я могу их закрыть!
Спасибо!!
Код:
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба TlntSvr (Telnet)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>>> Безопасность: В IE разрешены автоматические запросы элементов управления ActiveX
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
-
для начала определитесь, какие службы Вам действительно не нужны. Для ориентировки скачайте руководство по службам Винды (ссылка в моей продписи).
Для отключения 2 служб, о которых Вы спрашиваете можно выполнить скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.
Можно так же воспользоваться программой Dingens: http://www.dingens.org/index.html.en
Последний раз редактировалось Rene-gad; 05.04.2008 в 17:20.
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Rene-gad
Для отключения 2 служб, о которых Вы спрашиваете можно выполнить скрипт:
Код:
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
end.
Доброго дня, вам!
Эти функции я выполнить не смогла.. Пишет что-то про avz.exe Но я хочу запретить доступы все же. Помогите плиз!
Программой Dingens воспользовалась.
И все-таки я не уверенна, что с компом все в порядке.
Обьясняю. IE сейчас не пользуюсь, работаю в Мозиле совсем чуть: смотрю ваши ответы.
Открыла IE только чтобы посмотреть как работает и при неправильно набранном адресе (вместо google.com набрала gooole.com) тут же выбросилась рекламное окно с congratulations! IE благополучно закрыла.
При работе с Мозилой сегодня было так. Читаю еще раз Правила, при клике на скачивание программы AVZ должна открываться новая вкладка.. Открылась, но пустая.. Я попробовала другую ссылку в Правилах – та же фигня.. Сорри )) Только перезагрузка компа дала нормальный результат.
При открытие папок – некоторых – появился щелчок.. что для меня, не приятный. Возможно просто я не знаю как его убрать где-то в опциях. При сохранении файла, например, word doc, в названии пишется расширение (/doc), чего раньше не было.. Опять-таки возможно это просто восстановление каких-то основных функций, которые я не знаю как убрать.
Каждый раз программу AVZ, т.е. каждый день приходится качать заново и расспаковывать, т.к. при запуске Обновление баз выкидывается окно, что файл нарушен. Возможно это работа Касперского 0.7, который опознает ее как Hidden ПО.
В отчете Hijack This есть missing files. Попытка профиксить их ничего не дает. Они все-равно выходят в следующем skan(e) Hijack..
Кто такой Broadcom Wireless – вообще не знаю, пользуюсь другим интернет провайдером. Также количество R1 и R0 просто странное. Зачем их столько? Пользуюсь home page – Google.co.uk и обычно в отчете это так и было (до всего этого кордебалета с вирусами))
Можно ли позадавать вопросы по отчету AVZ&. Спасибо. Кстати, при завершении отчета, после нажатия Ок на окно «Скрипты выполнены» AVZ зависает и отмирает минут через 10 .. Это нормально!? При чем Касперский во время работы AVZ отключен..
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
Проверка отключена пользователем
Как разрешить проверку портов, если это необходимо, конечно же?..
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Что значит – найдена таблица экспорта? В моей системе что-то изменено и AVZ это детектирует?.. и количество этих файлов касным цветом после этого просто шарашит..
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082680)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559680
KiST = 8276E008 (297)
>>> Внимание, таблица KiST перемещена ! (804E26A8(284)->8276E008(297))
Это вредно? Почему вообще один и тот же отчет по этим файлам выходит все время?.. Если Кернел отстутствует, откуда берется столько «перехвачено» и « восстановленно»?
Сделала еще раз Dr.Web в безопасном режиме. Ничего не выявленно.
Логи приложила; сделанны после обновления баз.
Спасибо
-
Сообщение от
niin
Пишет что-то про avz.exe
Что пишет-то? Может хоть скриншот сдеалете?
1. Очистите ПК от мусора
2. Выполните скрипт
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('none','');
QuarantineFile('C:\WINDOWS\system32\15.tmp','');
DeleteService('MEMSWEEP2');
StopService('MEMSWEEP2');
DeleteFile('C:\WINDOWS\system32\15.tmp');
DeleteFile('none');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки закачайте карантин
-
-
Junior Member
- Вес репутации
- 59
Сообщение от
Rene-gad
Что пишет-то? Может хоть скриншот сдеалете?
1. Очистите ПК от мусора
2. Выполните скрипт
После перезагрузки закачайте карантин
Скриншот уже не нуно, т.к. при новой загрузке AVZ скрипт выполнился.
Очистку сделала! Весьма интересная штучка. Хотя у меня стоит CCleaner и каждый день в конце дня его запускаю.. привычка ))
2. Скрипт выполнила. Комп перезагрузился сам.
Теперь. Вы просите закачать карантин. Я честно нырнула в Правила и читала-читала. У меня в AVZ в папке карантин ничего нет.
Может я чего-то не допоняла. Какие файлы нужно было
1. Выберите "Файл" - "Добавление в карантин по списку".
2. В верхнем окне введите список файлов которые Вас просили прислать.
Приложила опять логи
Добавляю! Очень важно!
Только что обнаружила, что изменены настройки касперского!
Все файлы во всех позициях Поиск вирусов - Мой компьютер, Критические области, Обьекты автозапуска, Поиск руткитов - исключены из системы проверки.. Я никаких настроек не меняла..
Вчера например, поиск руткитов занял долгое время.. Сейчас - минуту.. Я в шоке.. Неужели все придется сносить Диск С
Мой компьютер – Настройка – Дополнительно – есть опция Запуск задачи от имени – появилась запись пароля!!!! при не включенной галке.. Я попыталась изменить этот пароль, Ок, применить.. Закрываю, открываю.. Моего нового пароля не существует..
Последний раз редактировалось niin; 07.04.2008 в 04:02.
-
Сообщение от
niin
Неужели все придется сносить Диск С
это от нас никуда не убежит , тем более, что в логах ничего плохого на вижу.
Удалите остатки Sophos
Код:
begin
DeleteFile('C:\WINDOWS\system32\SAVRKBootTasks.sys');
end.
Попробуйте после этого переустановить Каспера. Удалите http://www.kaspersky.ru/support/kis7...?qid=208635622, скачайте remover: ftp://ftp.kaspersky.com/utils/klremover/ и прогоните его , скачайте последнюю версию программы и сделайте быструю установку: http://www.kaspersky.ru/support/kav7...?qid=208635607, держите ключик под рукой.
Последний раз редактировалось Rene-gad; 07.04.2008 в 10:08.
-
-
Junior Member
- Вес репутации
- 59
-
Junior Member
- Вес репутации
- 59
Сделала логи... Но млин, только сейчас сообразала, что делала и без запущеного IE.. Хотя пользоваться им теперь откровенно боюсь..
-
Junior Member
- Вес репутации
- 59
HijacThis..
-
выполните скрипт ...
Код:
begin
QuarantineFile('C:\DOCUME~1\Lina1\LOCALS~1\Temp\KTRJLIMQ.exe','');
QuarantineFile('C:\DOCUME~1\Lina1\LOCALS~1\Temp\JOIIYGZ.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
пришлите карантин согласно приложения 3 правил ...
-
-
Junior Member
- Вес репутации
- 59
Отправила карантин! Со своей темы.. но в это время не была залогина на сайте.. Присылать второй раз или он прошел успешно? Спасибо
-
Написало, что спасибо загружен?
-
-
Junior Member
- Вес репутации
- 59
Написало
Спасибо.
Последний раз редактировалось niin; 09.04.2008 в 02:08.
-
Значит, на месте. Ждём результатов анализа.
-
-
Junior Member
- Вес репутации
- 59
Простите, что немного нарушаю правила.. Но ровно вчера в это время отправила крантин.. Может он не дошел - все же??
-
К сожалению архив пришёл пустой. Попробуйте поискать KTRJLIMQ.exe и JOIIYGZ.exe при помощи АВЗ--сервис--поиск файлов на диске и вышлите согласно приложения 2 правил.
-
Junior Member
- Вес репутации
- 59
Пожалуйста, помогите мне разобраться с компом. Я просто уже больлше не могу. Сижу и плачу. Вот сейчас пишу а с экрана прпопала даже стрелка.. пишу вслепую. Сегодня не открылся почтовый ящик майл.ру.. Зашла на него с компа сына - все впорядке. Значит это у меня в системе кто-то сидит.
Файлы которые вы запросили показываюся в папке Temporary я отправила запрошенный карантин.
я сделаю логи еще раз и приложу.. Спасибо!