-
Junior Member
- Вес репутации
- 53
Сапожник без сапог. Создаются файлы в корневых каталогах khw, autorun.inf и подобное
Здравствуйте, глубокоуважаемые коллеги!
Не могу понять. Несколько раз в день создаются файлы kht, khw (0 байт), два исполняемых файла со случайными именами и autorun.inf.
Погуглил пристально, не увидел в интернете применимых к моему компьютеру ситуаций.
Настроил задачу в шедулере для автоматического удаления вновь создаваемых файлов при их появлении. Полная проверка с максимальной эвристикой NOD32 4, CureIt, утилитой Касперского результатов не дала. Сканирование системного винчестера прицепом ко второму компьютеру результатов не дало (теми же тремя утилитами).
Доступ к Сети организуется через выделенную прямую линию Lan+PPPoE, с второй сетевой карты организована локальная сеть с ноутбуком. (встроенный NAT "общий доступ к интернету" Windows 7.
ОС на обоих компьютерах - Windows 7 Ultimate вечно неактивированные, файрволлы встроенные, антивирусы - NOD32 4 Business edition легальные.
>> Службы: разрешена потенциально опасная служба TermService (@%SystemRoot%\System32\termsrv.dll,-26
>> Службы: разрешена потенциально опасная служба SSDPSRV (@%systemroot%\system32\ssdpsrv.dll,-100)
>> Службы: разрешена потенциально опасная служба Schedule (@%SystemRoot%\system32\schedsvc.dll,-100)
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
- это так надо. на свой компьютер захожу и удаленно из интернету, и порой через Netbios со второго компьютера (он, кстати, не заражен).
Указанные в правилах логи прикрепляю.
Вложение 237374
Вложение 237375
Вложение 237376
С уважением, Александр.
p.s. также из симптомов замечено периодический 100% загруз процессора службами upnphost и ssdp - их останавливаю руками через некоторое время после старта системы, но такое было начиная с бета-сборок семерки и скорее всего следствием вируса не является (система самосборная, "неправильная"). Может будет совет и по этому поводу?
Последний раз редактировалось foxsandy; 13.05.2010 в 04:24.
Причина: Добавил P.S.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Запустите AVZ.
Выполните скрипт через меню Файл:
Код:
begin
DeleteFileMask('C:\Users\Fox\Local Settings\Temp', '*.TMP', false);
QuarantineFile('C:\Users\Fox\AppData\Local\Temp\EGIFW.exe','');
end.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.
Поставьте надежный пароль на учетные записи с правами Администратора.
-
-
Junior Member
- Вес репутации
- 53
Пароль на записи с правами Администратора поставить не могу - комп домашний, дети не разберутся) Но у меня запрещен политиками логин по сети, только RDP и разрешен беспарольный вход по netbios для внутренней локальной сети.
-
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 1
- В ходе лечения вредоносные программы в карантинах не обнаружены
-