Доброго времени суток.

Ситуация такая.
Есть вин-дедик. Судя по непонятной активности скорее всего затроянен. Что подразумевается под такой активностью? Во первых, в логах часто проскакивает Success login for ANONYMOUS. Во вторых, после каждого ребута расшариваются жесткие диски. В третьих, есть файл в system32, ftp.exe, который больше стандартного на 20 кб (сравнивался с WinXP, на той машине Win2003 x64). В крутящихся процессах лишнего ничего нет. В сервисах тоже. Сканирование НОДом с последними базами ничего не дает. После удаления файла ftp.exe он появляется заново.

В юзерах нет ни одного пользователя, которому разрешен анонимный акцесс (HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA restrictanonymous стоит в 1).

Интересуют 3 вопроса.
Как сделать так, чтобы не было анонимного акцесса?
Как сделать так, чтобы после каждого ребута не расшаривались диски?
Что это вообще за чудо-трой такой и как от него избавиться?

Заранее спасибо.

Смотри что в автозагружается. По колдуй с msconfig'ом. Может быть заражон какойто "не лишний" процесс.

Как сделать так, чтобы не было анонимного акцесса?1. Start->Run->gpedit.msc

2. Перейди в Computer Configuration -> Windows Settings ->SecuritySettings -> Local Policies -> SecurityOptions

3. Network access: Allow anonymous SID/Name translation -> Disabled
Network access: Do not allow anonymous enumeration of SAM accounts -> Enabled
Network access: Do not allow anonymous enumeration of SAM accounts and shares -> Enabled
Network access: Let Everyone permissions apply to anonymous users -> Disabled
Network access: Named Pipes that can be accessed anonymously -> Disabled
Network access: Shares that can be accessed anonymously -> Disabled
Как сделать так, чтобы после каждого ребута не расшаривались диски?Если ты имеешь ввиду административные шары (Admin$, C$, etc.) подправь в реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\parameters]
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
Что это вообще за чудо-трой такой и как от него избавиться?_http://www.majorgeeks.com/download3155.html
_http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx
_http://www.microsoft.com/technet/sysinternals/Security/Sigcheck.mspx

Проскань AdAware

http://wasm.ru/pub/21/files/phunter.rar
Process Hunter by ms-rem

IceSword нормальная тулза
http://xfocus.net/tools/200605/IceSword1.18en.rar
только офф сайт лежит видать щас..
зеркала не нашел =)

а всем кто писал "посмотри в msconfige"
чё за бреднах
его обойти как два пальца как и запись в реестре

а всем кто писал "посмотри в msconfige"
чё за бреднах
его обойти как два пальца как и запись в реестре
Обойти много чего можно. Тотже phunter не поможет если процесс не скрывать.

http://www.gmer.net/gmer.zip
хорошая тулза для поиска скрытых процессов, сервисов и тд

Обойти много чего можно. Тотже phunter не поможет если процесс не скрывать.
я не спорю =) но ты тогда не просто пусто говори типа не.. эт никуя не поможет, если уж пишешь то пиши по делу, предложи свой вариант, способ, хоть ченить))

Если процесса левого нет, то зайди в реестре по ссылке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\" - если там есть левые записи(загрузка из левых папок, не из windows и т.д., кроме crypt32chain, cryptnet, cscdll, ScCertProp, Schedule, sclgntfy, SensLogn, termsrv, wlballoon - они без указания директорий), то вырубаешь winlogon.exe какой-нибудь утилитой(типа winkiller) и удаляешь левую запись из реестра пока комп не ребутнулся...

похожая ситуация у меня была - запускался iexplore.exe без окон и ломился на msupdate.info, просто удаление не помогало - вышеуказанный способ помог...

...то вырубаешь winlogon.exe...Если вырубить winlogon будет BSoD. Проверено. Кроме этого, чтоб его вырубить, нужны привилегии SYSTEM.

Если вырубить winlogon будет BSoD. Проверено. Кроме этого, чтоб его вырубить, нужны привилегии SYSTEM.
БСОД не всегда...

да и чтобы винлогон снести нужно постараться

да и чтобы винлогон снести нужно постараться

я же говорю: какой-нибудь прогой, типа winkiller, а не стандартным taskmanager'ом... и кстати нормально вырубается под правами админа....

Вот уже почти год как мучаюсь тут с одним руткитом удаляю появляется и так постоянно размножается, все программы антируткиты буквально перепробовал, потому что ну никак рука не поднимается форматировать то что собирал и создавал на протяжении 10 лет , дело в том что у меня 2 логических диска D и С ,диск D заражаен этим самым руткитом и похоже все таки придется его форматнуть,вопрос такой а может ли как нибудь руткит перейти на диск C или он только на D и после форматирования он исчезнет навсегда?Спасибо

Вот уже почти год как мучаюсь тут с одним руткитом удаляю появляется и так постоянно размножается, все программы антируткиты буквально перепробовал, потому что ну никак рука не поднимается форматировать то что собирал и создавал на протяжении 10 лет , дело в том что у меня 2 логических диска D и С ,диск D заражаен этим самым руткитом и похоже все таки придется его форматнуть,вопрос такой а может ли как нибудь руткит перейти на диск C или он только на D и после форматирования он исчезнет навсегда?Спасибо
бредовый пост вообще, какой нах формат? Винду переставь и фсе, я далек от той мысли, что "руткит" твой записалсо в mbr или еще в какую-то хрень... :rolleyes:

ах да и программы антируткиты его 100 пудов видять, просто ты ненарезаеш как их юзать ;)