• Добро пожаловать на компьютерный форум Tehnari.ru. Здесь разбираемся с проблемами ПК и ноутбуков: Windows, драйверы, «железо», сборка и апгрейд, софт и безопасность. Форум работает много лет, сейчас он переехал на новый движок, но старые темы и аккаунты мы постарались сохранить максимально аккуратно.

    Форум не связан с магазинами и сервисами – мы ничего не продаём и не даём «рекламу под видом совета». Отвечают обычные участники и модераторы, которые следят за порядком и качеством подсказок.

    Если вы у нас впервые, загляните на страницу о форуме и правила – там коротко описано, как задать вопрос так, чтобы быстро получить ответ. Чтобы создавать темы и писать сообщения, сначала зарегистрируйтесь, а затем войдите под своим логином.

    Не знаете, с чего начать? Создайте тему с описанием проблемы – подскажем и при необходимости перенесём её в подходящий раздел.
    Задать вопрос Новые сообщения Как правильно спросить
    Если пришли по старой ссылке со старого Tehnari.ru – вы на нужном месте, просто продолжайте обсуждение.

Подозрения на вирус!

AЛХИМИК

AЛХИМИК

Жарим-Тушим
Поддержка
Регистрация
10 Ноя 2008
Сообщения
2,680
Реакции
88
Баллы
0
Подозрения на вирус!

подозрения начались с того что иконка часов(TimeLeft) начала переодически менять облик, т.е. менялись скины циферблата и значка в трее.
потом (сегодня утром) включаю комп, а там.... все значки файлов стали стандартными, как по умолчанию. (была до этого измененная тема)
ничего не менял, никаких тем и программ.

обновил AVZ, и Dr.Weba
захожу я в безопасный режим:
попытался просканиться доктором, не успев запуститься, такая ошибка:



просканился АВЗешкой. честно, в ней не разбираюсь, чё там пишут. выложил отчёт.
 

Вложения

просканился Malwarebytes' Anti-Malware: нашел 3 троянчика.((( в реестре засели.
удалил. перезагружусь, сообщу о результатах...
 
AVZ ничего смертельного не нашел. В логе есть указания на наличие уязвимостей, которые исправляются одним скриптом: http://www.tehnari.ru/showthread.php?t=21131
Выложите сюда также эвентлог.
 
скрипт я выполнял ранее. ещё разок надо?
эвентлог? поясните пож-та! :( и где его взять?
 
Ну т.е. хистори журнала системных ошибок и ошибок приложений: Пуск-Выполнить-eventvwr.msc.
Да, прошу прощения. Уязвимости, которые закрываются тем скриптом отсутствуют (кроме Avtorun CD-ROM - почему кстати?), но есть и другие. Обратите на них внимание и устраните.
"Разрешена потенциально опасная служба TermService (Службы терминалов)";
"Безопасность: к ПК разрешен доступ анонимного пользователя".
Автозапуск с CDRom оставьте, удобная вещь.
Кстати, настройки перед сканированием в AVZ были выставлены полные, с глубоким анализом? Что-то лог коротенький совсем...
 
чё то я в АВЗешке ваще ничё не разгребаю.
вопросы:
Артём написал(а):
Обратите на них внимание и устраните.
"Разрешена потенциально опасная служба TermService (Службы терминалов)";
"Безопасность: к ПК разрешен доступ анонимного пользователя".
Нажмите для раскрытия...

где это отключить?

и где настройки глубокого анализа?
 

Вложения

  • Службы.webp
    Службы.webp
    86.5 KB · Просмотры: 86
  • TCP_IP.webp
    TCP_IP.webp
    83.9 KB · Просмотры: 99
да и ещё заметил. вот это окошко:

было больше и имело при себе список всех команд(штук 30).
а теперь видон у неё как было давно.

мне очень сильно кажется что вирус сбил все мои "премудрости"
 
со службой по-моему разобрался:
это с АВЗ:

а это со служб:


и там и там поотрубать нафиг?
 
Если машина не используется для удаленного доступа и администрирования - отрубай.
 
ок!
а #10?
 
остановить не могу, а тип запуска - сделал отключено.
 
*АЛХИМИК* написал(а):
ок!
а #10?
Нажмите для раскрытия...

Это значит, что используется анонимный доступ когда есть сеть из компьютеров. Когда оных несколько, то надёжней будет их всех прописать (друг у друга) и запретить анонимный доступ. Если машина локальная - можно смело закрыть. Для этого нужно выполнить скрипт в AVZ:

Код: 
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.
 
спасибо Артём!
а возможно обьяснить причину такого поведения: #8
 
*АЛХИМИК* написал(а):
спасибо Артём!
а возможно обьяснить причину такого поведения: #8
Нажмите для раскрытия...
То есть в строке выпадал список ранее введенных команд, а теперь его не стало? Если так, то причиной тому может быть использование/запуск любого софта, удаляющего историю. Это нормальное явление.
 
Коль, у меня тоже доктор веб не запускался, просканился НОДом, удалил что-то в сустем вольюм информашион, вроде начало нормально работать...
 
Спасибо Антоха! а про нод32-то я забыл))))
попробую, отпишусь...
 
просканил нодом. нифигакочки(((
вирус стопудово сидит. почему: седня втыкали мою флэшку (кроме моего компа ни с кем не стыковалась) в МасОs, там была видна какая-то посторонняя папка с неизв. мне содержимым. хозяин Мака сказал - вирусняк. весила килобайты...
стыкую после этого со своим ХРюшкой, никаких инопланетян. и антивирус ничего не находит.
да! и ещё: разность массы = около 20 кб. т.е. вес занятого места на флэхе минус вес всего содержимого на флэхе вместе со скрытыми.
 
Коль, часы не перевелись на 2066 год?У меня, когда ловил переводились,и винда отказывалась писать диски...Если это так, то в \WINDOWS\system32 включи скрытые файлы и посмотри, там должна быть рожица похожая на панду, её сносишь и всё работает...Ну у меня по крайней мере так было...Ещё, как вариант притащить хард к кому-небудь и просканится там...
 
Войдите или зарегистрируйтесь для ответа.
Назад
Сверху