[zeroua]

12341234, Желательно также сделать дополнительные логи с помощью утилиты Deckard's System Scanner. Закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, сохраните их и заархивируйте, и стоило проверять 4.30 с последними базами ...вы проверили систему CureIt или же Kaspersky Virus Removal Tool ?

Рекомендую отключить лишнее, то что из этого не нужно...

Код:

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

подозрительные файлы можно проверить тут

[12341234]

zeroua,
Более всего есть подозрения на шпионов и троянов.

Попутно вопрос - служба SSPD - за что отвечает ?
Планировщик нужен - пробуждет ПК по расписанию.
Диспетчер отключу.
Попутно - автозапуск у меня отклченн через TweakUI со всех дисков кроме C.
Если я через реестр отменю общие административные ресурсы C,D.... Это на чем может отразиться ?

И - как грамотно запретить досткуп анонимного пользователя(при этом чтобы не мешало работе с torrent-трекерами) ?

У меня стоит KIS 6 , обновляемый каждый день.

Проверить подозрительные - вы можете указать на какието у меня или это если у меня будет подозрения ?


Deckard's System Scanner что конкретно ищет ?
Если я все это проверю то могу быть уверенным что в системе нет шпионов и троянов ?

[Pili]

Рекомендую деинсталлировать FlashGet и Registry Defragmentation
ARTICONS.job сами в планировщик ставили? Если нет - удалите задание.
Какие проблемы наблюдаются и почему есть подозрение?
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Registry Defragmentation\RegManServ.exe','');
 QuarantineFile('C:\WINDOWS\system32\CurrentLogoUI.exe','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\gggen.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys','');
BC_ImportALL;
BC_QrSvc('OMSCAN');
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".\

Код:

O4 - HKLM\..\Run: [ScanRegistry] C:\W

Цитата:

База поcледний раз обновлялась 30.03.2008 AVZ версии 4.29

Скачайте снова AVZ и обновите базы.

Цитата:

HijackThis v2.0.0 (BETA)

Скачайте заново HijackThis и повторите логи.
В правилах ссылки на утилиты есть, в т.ч. и на Deckard's System Scanner

[12341234]

Всю софтину обновил,все логи вложенны в архив.
А чем плохи FlashGet и Registry Defragmentation ?
Задания делал я,могу и удалить конечно.


Так все впорядке но как то раз из майла вышибло с сообщением "запущен на другом ПК",вот и решил провериться. Можно конечно пароль сменить-тока вот если есть spyware или трояны то толку от этого не будет никакого

Ну и ещё по мелочи было...

(тем более осенью нашел такую троянскую штуку в компе которую каспер не видел)




Кстати - расшифруйте суть выполняемых скриптов-т.е. их конкретные действия.

[Pili]

Цитата 12341234:

Всю софтину обновил,все логи вложенны в архив »

новые логи (и от DSS тоже) надо было прикладывать к сообщению.
Про FlashGet можно почитать тут - статья TrojanGet, правда дыру сейчас прикрыли... Если Registry Defragmentation и задания сами делали, можете не удалять, просто о проблеме вы ничего не написали, Registry Defragmentation могло иметь отношение к проблеме, имхо, к тому же не сильно полезная программа, для прироста производительности лучше отключить не нужные службы (можно почитать тут и ещё статья Повысьте производительность компьютера

Цитата 12341234:

как то раз из майла вышибло с сообщением "запущен на другом ПК" »

скорее всего Mail.Ru агент глючил, кстати его тоже рекомендую деинсталлировать, по статистике больше зараженных систем встречается, когда установлен Mail.Ru агент.
Удалите полностью в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 или сохраните текст ниже как reg файл и примените

Код:

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{061aaa24-d399-11da-a213-812256429ee7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{061aaa25-d399-11da-a213-812256429ee7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{74022eea-c196-11da-a1d3-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1c4a7be-ccca-11db-859b-e80b4dc17170}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6936cad-a480-11db-a3b2-c70f5c906d31}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6936cae-a480-11db-a3b2-c70f5c906d31}]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\W','');
 StopService('OMSCAN');
 SetServiceStart('OMSCAN', 4);
 DeleteService('OMSCAN');
 DeleteFile('C:\W');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

для защиты от autorun cкопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.

Код:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""

Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf

Цитата:

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя

это нужно? Если нет, выполните скрипт

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.

в остальном логи (и файлы в карантине) чистые

Цитата 12341234:

расшифруйте суть выполняемых скриптов »

скрипт из поста 4 собирал файлы на карантин, из этого поста - удаляет OMSCAN и C:\W
Рекомендую почитать AVZ - справка по работе с программой, а также электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"

[12341234]

После выполнения
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\W','');
StopService('OMSCAN');
SetServiceStart('OMSCAN', 4);
DeleteService('OMSCAN');
DeleteFile('C:\W');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
У меня улетела заставка приветствия и вернулась стандартная это нормально ?
(был установленн XP LogoCanger,и приветствие My Mermaid logon)/остальное пока даже не стал трогать

PS-вот для этого я и спрашивал подробное обьяснение....

[Pili]

12341234, а стандартная не устраивает? Удаляли C:\W в автозагрузке и драйвер OMSCAN (со странным именем файла \Sys,
и по логу DSS название файла тоже странное), это не должно было повлиять на заставку. В списке Add/Remove Programs я не увидел ни XP LogoCanger ни My Mermaid logon, если вас это сильно беспокоит можете переустановить эти программы

[12341234]

Понимаю что странно - и мне интересно.Программа без установщика - исполняемый файл а папке с несколькими директорями для сортировки контента,в эту папку положенна заставка(ехе). Послие чего запускаеться прога и меняеться экран входа в систему-переустановить то я переустановлю,но вдруг это не совсем чистая софтина. А каком логе - может мне после того как переустановил по новой именно этот лог сделать ? Кстати могу дать софтину на исследование - весит 3мб.



C:\W снес(скрипт тот выполнил)-но это было ещё пару лет назад при установке винды после того как встали основные драйвера(думаю временная папка какянить может была)-в любом случае по этому пути никакого файла небыло.

По административным ресурсам и анонимному доступу - подводных камней быть не должно при выполнении скрипта ?

[Pili]

Цитата 12341234:

Программа без установщика - исполняемый файл а папке »

Эта программа прописывает OMSCAN и файл \Sys в C:\WINDOWS\system32\drivers\ очень не типичное поведение для программы-заставки, программу сами можете проверить на virustotal.com и отослать в ЛК на newvirus@kaspersky.com

Цитата 12341234:

А каком логе - может мне после того как переустановил по новой именно этот лог сделать ? »

не совсем понял, если эту программу установили, можете сделать лог HijackThis и в AVZ стандартный скрипт 2 выполнить (лог virusinfo_syscheck.zip)

Цитата 12341234:

По административным ресурсам и анонимному доступу - подводных камней быть не должно при выполнении скрипта ? »

из сети не смогут подключаться анонимные пользователи и на ресурсы C$, D$ - администраторы