Имя пользователя:
Пароль:
 

Показать сообщение отдельно

Dr. Piligrim


Сообщения: 2443
Благодарности: 519

Профиль | Отправить PM | Цитировать


n3at, Здравствуйте. У вас поселился Net-Worm.Win32.Kido
MS08-067 (http://www.microsoft.com/technet/sec.../ms08-067.mspx)
MS08-068 (http://www.microsoft.com/technet/sec.../ms08-068.mspx)
MS09-001 (http://www.microsoft.com/technet/sec.../ms09-001.mspx)
Эти обновления установлены? Если нет, установите.
Рекомендую установить WindowsXP SP3 и все последующие обновления - http://windowsupdate.microsoft.com
Включите встроенный брандмауэр windows, запретите 445 и 139 порт (уберите в исключения общий доступ к файлам и принтерам), дополнительно воспользоваться утилитой wwdc, см. также здесь
Для защиты от вирусов типа autorun.inf рекомендую отключить автозапуск
Скопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Код: Выделить весь код
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff
	
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutoplay\Files]
"*.*"=""
Скачайте Flash Drive Disinfector и запустите утилиту (не забудьте подключить флешки и/или другие съемные носители) - утилита создает на дисках папки с именем autorun.inf (папка будет содержать файл lpt3.this folder was created by flash_disinfector), это предотвратит запись на диски и съемные носители файлов autorun.inf

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
временно выключите антивирус, firewall и другое защитное программное обеспечение
Код: Выделить весь код
File::
c:\windows\system32\xouxh.dll

Driver::
hpzsgznxq

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"5223:TCP"=-
[-HKLM\SYSTEM\CurrentControlSet\Services\hpzsgznxq]
[-HKLM\SYSTEM\ControlSet002\Services\hpzsgznxq]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe



Когда сохранится новый отчет ComboFix, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению

Цитата n3at:
Большая просьба поделится принципом, по которому вы анализируете логи, чтобы снова не пришлось обращаться за помощью »
Внимательно анализируете логи и ищете все лишнее, подозрительные файлы анализируете на virustotal.com

-------

Virus? Malware? - Начните отсюда
Проблема в вашей теме решена? - Отметьте её решенной в настройках темы
Free Antivirus Software......Полиморфный AVZ

Это сообщение посчитали полезным следующие участники:

Отправлено: 09:09, 26-01-2009 | #5