|
Удаление непонятного трояна
Доброго времени суток.
Ситуация такая. Есть вин-дедик. Судя по непонятной активности скорее всего затроянен. Что подразумевается под такой активностью? Во первых, в логах часто проскакивает Success login for ANONYMOUS. Во вторых, после каждого ребута расшариваются жесткие диски. В третьих, есть файл в system32, ftp.exe, который больше стандартного на 20 кб (сравнивался с WinXP, на той машине Win2003 x64). В крутящихся процессах лишнего ничего нет. В сервисах тоже. Сканирование НОДом с последними базами ничего не дает. После удаления файла ftp.exe он появляется заново. В юзерах нет ни одного пользователя, которому разрешен анонимный акцесс (HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA restrictanonymous стоит в 1). Интересуют 3 вопроса. Как сделать так, чтобы не было анонимного акцесса? Как сделать так, чтобы после каждого ребута не расшаривались диски? Что это вообще за чудо-трой такой и как от него избавиться? Заранее спасибо. |
Смотри что в автозагружается. По колдуй с msconfig'ом. Может быть заражон какойто "не лишний" процесс.
|
Цитата:
2. Перейди в Computer Configuration -> Windows Settings ->SecuritySettings -> Local Policies -> SecurityOptions 3. Network access: Allow anonymous SID/Name translation -> Disabled Network access: Do not allow anonymous enumeration of SAM accounts -> Enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares -> Enabled Network access: Let Everyone permissions apply to anonymous users -> Disabled Network access: Named Pipes that can be accessed anonymously -> Disabled Network access: Shares that can be accessed anonymously -> Disabled Цитата:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\parameters] "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters] "AutoShareServer"=dword:00000000 Цитата:
_http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx _http://www.microsoft.com/technet/sysinternals/Security/Sigcheck.mspx |
Проскань AdAware
|
http://wasm.ru/pub/21/files/phunter.rar
Process Hunter by ms-rem IceSword нормальная тулза http://xfocus.net/tools/200605/IceSword1.18en.rar только офф сайт лежит видать щас.. зеркала не нашел =) а всем кто писал "посмотри в msconfige" чё за бреднах его обойти как два пальца как и запись в реестре |
Цитата:
|
http://www.gmer.net/gmer.zip
хорошая тулза для поиска скрытых процессов, сервисов и тд Цитата:
|
Если процесса левого нет, то зайди в реестре по ссылке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\" - если там есть левые записи(загрузка из левых папок, не из windows и т.д., кроме crypt32chain, cryptnet, cscdll, ScCertProp, Schedule, sclgntfy, SensLogn, termsrv, wlballoon - они без указания директорий), то вырубаешь winlogon.exe какой-нибудь утилитой(типа winkiller) и удаляешь левую запись из реестра пока комп не ребутнулся...
похожая ситуация у меня была - запускался iexplore.exe без окон и ломился на msupdate.info, просто удаление не помогало - вышеуказанный способ помог... |
Цитата:
|
Цитата:
да и чтобы винлогон снести нужно постараться |
Цитата:
|
Вот уже почти год как мучаюсь тут с одним руткитом удаляю появляется и так постоянно размножается, все программы антируткиты буквально перепробовал, потому что ну никак рука не поднимается форматировать то что собирал и создавал на протяжении 10 лет , дело в том что у меня 2 логических диска D и С ,диск D заражаен этим самым руткитом и похоже все таки придется его форматнуть,вопрос такой а может ли как нибудь руткит перейти на диск C или он только на D и после форматирования он исчезнет навсегда?Спасибо
|
Цитата:
|
ах да и программы антируткиты его 100 пудов видять, просто ты ненарезаеш как их юзать ;)
|
| Время: 02:43 |