n3at, Здравствуйте. У вас поселился Net-Worm.Win32.Kido
MS08-067 (
http://www.microsoft.com/technet/sec.../ms08-067.mspx)
MS08-068 (
http://www.microsoft.com/technet/sec.../ms08-068.mspx)
MS09-001 (
http://www.microsoft.com/technet/sec.../ms09-001.mspx)
Эти обновления установлены? Если нет, установите.
Рекомендую установить
WindowsXP SP3 и все последующие обновления -
http://windowsupdate.microsoft.com
Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключения общий доступ к файлам и принтерам), дополнительно воспользоваться утилитой
wwdc, см. также
здесь
Для защиты от вирусов типа autorun.inf рекомендую
отключить автозапуск
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Скачайте
Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf
Скопируйте текст ниже
в блокнот и сохраните как файл с названием
CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код:
File::
c:\windows\system32\xouxh.dll
Driver::
hpzsgznxq
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5223:TCP"=-
[-HKLM\SYSTEM\CurrentControlSet\Services\hpzsgznxq]
[-HKLM\SYSTEM\ControlSet002\Services\hpzsgznxq]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe
Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из
C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл
C:\ComboFix.txt и прикрепите к сообщению
Цитата n3at:
|
Большая просьба поделится принципом, по которому вы анализируете логи, чтобы снова не пришлось обращаться за помощью »
|
Внимательно анализируете логи и ищете все лишнее, подозрительные файлы анализируете на virustotal.com
