ANTICHAT.XYZ    VIDEO.ANTICHAT.XYZ    НОВЫЕ СООБЩЕНИЯ    ФОРУМ  
Баннер 1   Баннер 2

ANTICHAT — форум по информационной безопасности, OSINT и технологиям

ANTICHAT — русскоязычное сообщество по безопасности, OSINT и программированию. Форум ранее работал на доменах antichat.ru, antichat.com и antichat.club, и теперь снова доступен на новом адресе — forum.antichat.xyz.
Форум восстановлен и продолжает развитие: доступны архивные темы, добавляются новые обсуждения и материалы.
⚠️ Старые аккаунты восстановить невозможно — необходимо зарегистрироваться заново.
Вернуться   Форум АНТИЧАТ > Безопасность и Уязвимости > Безопасность > Windows
Перезагрузить страницу Удаление непонятного трояна
   
Ответ
Страница 1 из 2 1 2 >
 
Опции темы Поиск в этой теме Опции просмотра

Удаление непонятного трояна
  #1  
Старый 04.12.2006, 23:45
FurA
Новичок
Регистрация: 01.08.2005
Сообщений: 25
Провел на форуме:
48628

Репутация: 17
По умолчанию Удаление непонятного трояна
Доброго времени суток.

Ситуация такая.
Есть вин-дедик. Судя по непонятной активности скорее всего затроянен. Что подразумевается под такой активностью? Во первых, в логах часто проскакивает Success login for ANONYMOUS. Во вторых, после каждого ребута расшариваются жесткие диски. В третьих, есть файл в system32, ftp.exe, который больше стандартного на 20 кб (сравнивался с WinXP, на той машине Win2003 x64). В крутящихся процессах лишнего ничего нет. В сервисах тоже. Сканирование НОДом с последними базами ничего не дает. После удаления файла ftp.exe он появляется заново.

В юзерах нет ни одного пользователя, которому разрешен анонимный акцесс (HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA restrictanonymous стоит в 1).

Интересуют 3 вопроса.
Как сделать так, чтобы не было анонимного акцесса?
Как сделать так, чтобы после каждого ребута не расшаривались диски?
Что это вообще за чудо-трой такой и как от него избавиться?

Заранее спасибо.
 
Ответить с цитированием

  #2  
Старый 05.12.2006, 00:00
zeppe1in
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818

Репутация: 117
По умолчанию
Смотри что в автозагружается. По колдуй с msconfig'ом. Может быть заражон какойто "не лишний" процесс.
 
Ответить с цитированием

  #3  
Старый 05.12.2006, 11:21
Deem3n®
Постоянный
Регистрация: 19.09.2005
Сообщений: 408
Провел на форуме:
3730496

Репутация: 519
По умолчанию
Цитата:
Сообщение от FurA  
Как сделать так, чтобы не было анонимного акцесса?
1. Start->Run->gpedit.msc

2. Перейди в Computer Configuration -> Windows Settings ->SecuritySettings -> Local Policies -> SecurityOptions

3. Network access: Allow anonymous SID/Name translation -> Disabled
Network access: Do not allow anonymous enumeration of SAM accounts -> Enabled
Network access: Do not allow anonymous enumeration of SAM accounts and shares -> Enabled
Network access: Let Everyone permissions apply to anonymous users -> Disabled
Network access: Named Pipes that can be accessed anonymously -> Disabled
Network access: Shares that can be accessed anonymously -> Disabled
Цитата:
Как сделать так, чтобы после каждого ребута не расшаривались диски?
Если ты имеешь ввиду административные шары (Admin$, C$, etc.) подправь в реестре:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\parameters]
"AutoShareWks"=dword:00000000
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\LanmanServer\Parameters]
"AutoShareServer"=dword:00000000
Цитата:
Что это вообще за чудо-трой такой и как от него избавиться?
_http://www.majorgeeks.com/download3155.html
_http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx
_http://www.microsoft.com/technet/sysinternals/Security/Sigcheck.mspx
 
Ответить с цитированием

  #4  
Старый 05.12.2006, 11:42
r0
Постоянный
Регистрация: 17.07.2005
Сообщений: 475
Провел на форуме:
1665310

Репутация: 488
По умолчанию
Проскань AdAware
 
Ответить с цитированием

  #5  
Старый 05.12.2006, 12:06
AHTOLLlKA
Участник форума
Регистрация: 01.02.2005
Сообщений: 233
Провел на форуме:
748321

Репутация: 112
Отправить сообщение для AHTOLLlKA с помощью ICQ
По умолчанию
http://wasm.ru/pub/21/files/phunter.rar
Process Hunter by ms-rem

IceSword нормальная тулза
http://xfocus.net/tools/200605/IceSword1.18en.rar
только офф сайт лежит видать щас..
зеркала не нашел =)

а всем кто писал "посмотри в msconfige"
чё за бреднах
его обойти как два пальца как и запись в реестре
 
Ответить с цитированием

  #6  
Старый 05.12.2006, 18:00
zeppe1in
Постоянный
Регистрация: 12.07.2006
Сообщений: 327
Провел на форуме:
1654818

Репутация: 117
По умолчанию
Цитата:
Сообщение от AHTOLLlKA  
а всем кто писал "посмотри в msconfige"
чё за бреднах
его обойти как два пальца как и запись в реестре
Обойти много чего можно. Тотже phunter не поможет если процесс не скрывать.
 
Ответить с цитированием

  #7  
Старый 06.12.2006, 08:17
AHTOLLlKA
Участник форума
Регистрация: 01.02.2005
Сообщений: 233
Провел на форуме:
748321

Репутация: 112
Отправить сообщение для AHTOLLlKA с помощью ICQ
По умолчанию
http://www.gmer.net/gmer.zip
хорошая тулза для поиска скрытых процессов, сервисов и тд

Цитата:
Обойти много чего можно. Тотже phunter не поможет если процесс не скрывать.
я не спорю =) но ты тогда не просто пусто говори типа не.. эт никуя не поможет, если уж пишешь то пиши по делу, предложи свой вариант, способ, хоть ченить))
 
Ответить с цитированием

  #8  
Старый 14.12.2006, 10:15
Dr.Frank
Постоянный
Регистрация: 31.07.2002
Сообщений: 312
Провел на форуме:
1212427

Репутация: 187
Отправить сообщение для Dr.Frank с помощью ICQ
По умолчанию
Если процесса левого нет, то зайди в реестре по ссылке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\" - если там есть левые записи(загрузка из левых папок, не из windows и т.д., кроме crypt32chain, cryptnet, cscdll, ScCertProp, Schedule, sclgntfy, SensLogn, termsrv, wlballoon - они без указания директорий), то вырубаешь winlogon.exe какой-нибудь утилитой(типа winkiller) и удаляешь левую запись из реестра пока комп не ребутнулся...

похожая ситуация у меня была - запускался iexplore.exe без окон и ломился на msupdate.info, просто удаление не помогало - вышеуказанный способ помог...
 
Ответить с цитированием

  #9  
Старый 14.12.2006, 11:38
Deem3n®
Постоянный
Регистрация: 19.09.2005
Сообщений: 408
Провел на форуме:
3730496

Репутация: 519
По умолчанию
Цитата:
...то вырубаешь winlogon.exe...
Если вырубить winlogon будет BSoD. Проверено. Кроме этого, чтоб его вырубить, нужны привилегии SYSTEM.
Последний раз редактировалось Deem3n®; 14.12.2006 в 12:03..
 
Ответить с цитированием

  #10  
Старый 14.12.2006, 16:24
W!z@rD
Reservists Of Antichat - Level 6
Регистрация: 12.02.2006
Сообщений: 891
Провел на форуме:
1892597

Репутация: 836


Отправить сообщение для W!z@rD с помощью ICQ
По умолчанию
Цитата:
Сообщение от Deem3n®  
Если вырубить winlogon будет BSoD. Проверено. Кроме этого, чтоб его вырубить, нужны привилегии SYSTEM.
БСОД не всегда...

да и чтобы винлогон снести нужно постараться
__________________
*********************************
*Я не волшебник ٩(๏̯͡๏)۶, только учусь...*
*********************************
Программы на заказ
Times to fly...
 
Ответить с цитированием
Ответ
Страница 1 из 2 1 2 >



« Предыдущая тема | Следующая тема »
Похожие темы
Тема Автор Раздел Ответов Последнее сообщение
можно ли к mp3 привязать трояна? George Защита ОС: вирусы, антивирусы, файрволы. 6 04.08.2006 04:58



Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
 


Быстрый переход




ANTICHAT.XYZ