Доброго времени суток. Ситуация такая. Есть вин-дедик. Судя по непонятной активности скорее всего затроянен. Что подразумевается под такой активностью? Во первых, в логах часто проскакивает Success login for ANONYMOUS. Во вторых, после каждого ребута расшариваются жесткие диски. В третьих, есть файл в system32, ftp.exe, который больше стандартного на 20 кб (сравнивался с WinXP, на той машине Win2003 x64). В крутящихся процессах лишнего ничего нет. В сервисах тоже. Сканирование НОДом с последними базами ничего не дает. После удаления файла ftp.exe он появляется заново. В юзерах нет ни одного пользователя, которому разрешен анонимный акцесс (HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\LSA restrictanonymous стоит в 1). Интересуют 3 вопроса. Как сделать так, чтобы не было анонимного акцесса? Как сделать так, чтобы после каждого ребута не расшаривались диски? Что это вообще за чудо-трой такой и как от него избавиться? Заранее спасибо.
Смотри что в автозагружается. По колдуй с msconfig'ом. Может быть заражон какойто "не лишний" процесс.
1. Start->Run->gpedit.msc 2. Перейди в Computer Configuration -> Windows Settings ->SecuritySettings -> Local Policies -> SecurityOptions 3. Network access: Allow anonymous SID/Name translation -> Disabled Network access: Do not allow anonymous enumeration of SAM accounts -> Enabled Network access: Do not allow anonymous enumeration of SAM accounts and shares -> Enabled Network access: Let Everyone permissions apply to anonymous users -> Disabled Network access: Named Pipes that can be accessed anonymously -> Disabled Network access: Shares that can be accessed anonymously -> Disabled Если ты имеешь ввиду административные шары (Admin$, C$, etc.) подправь в реестре: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\parameters] "AutoShareWks"=dword:00000000 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters] "AutoShareServer"=dword:00000000 _http://www.majorgeeks.com/download3155.html _http://www.microsoft.com/technet/sysinternals/Security/RootkitRevealer.mspx _http://www.microsoft.com/technet/sysinternals/Security/Sigcheck.mspx
http://wasm.ru/pub/21/files/phunter.rar Process Hunter by ms-rem IceSword нормальная тулза http://xfocus.net/tools/200605/IceSword1.18en.rar только офф сайт лежит видать щас.. зеркала не нашел =) а всем кто писал "посмотри в msconfige" чё за бреднах его обойти как два пальца как и запись в реестре
http://www.gmer.net/gmer.zip хорошая тулза для поиска скрытых процессов, сервисов и тд я не спорю =) но ты тогда не просто пусто говори типа не.. эт никуя не поможет, если уж пишешь то пиши по делу, предложи свой вариант, способ, хоть ченить))
Если процесса левого нет, то зайди в реестре по ссылке "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\" - если там есть левые записи(загрузка из левых папок, не из windows и т.д., кроме crypt32chain, cryptnet, cscdll, ScCertProp, Schedule, sclgntfy, SensLogn, termsrv, wlballoon - они без указания директорий), то вырубаешь winlogon.exe какой-нибудь утилитой(типа winkiller) и удаляешь левую запись из реестра пока комп не ребутнулся... похожая ситуация у меня была - запускался iexplore.exe без окон и ломился на msupdate.info, просто удаление не помогало - вышеуказанный способ помог...
Если вырубить winlogon будет BSoD. Проверено. Кроме этого, чтоб его вырубить, нужны привилегии SYSTEM.
я же говорю: какой-нибудь прогой, типа winkiller, а не стандартным taskmanager'ом... и кстати нормально вырубается под правами админа....
Вот уже почти год как мучаюсь тут с одним руткитом удаляю появляется и так постоянно размножается, все программы антируткиты буквально перепробовал, потому что ну никак рука не поднимается форматировать то что собирал и создавал на протяжении 10 лет , дело в том что у меня 2 логических диска D и С ,диск D заражаен этим самым руткитом и похоже все таки придется его форматнуть,вопрос такой а может ли как нибудь руткит перейти на диск C или он только на D и после форматирования он исчезнет навсегда?Спасибо
бредовый пост вообще, какой нах формат? Винду переставь и фсе, я далек от той мысли, что "руткит" твой записалсо в mbr или еще в какую-то хрень...
