Некоторые неясности в логе, выдаваемом AVZ

[Сержио]

Всем привет! Есть спецы которые могут ответить на пару вопросов?

На моем компа стоит Касперский, OutPost, SpyWare Terminator.

 

1.) В разделе отчета

"1.2 Поиск перехватчиков API, работающих в KernelMode

Драйвер успешно загружен

SDT найдена (RVA=08A500)

Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000

SDT = 80561500

KiST = 85E36008 (297),

Внимание таблица KiST перемещена! (804E48B0(284)->85E36008 (297)

Вопрос: Что это означает? Это плохо или нет?

 

2.) В разделе отчета - 8. Поиск потенциальных уязвимостей:

> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!

>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)

>> Безопасность: к ПК разрешен доступ анонимного пользователя

 

Подскажите как исправить эти три уязвимости?

 

Сообщение от модератора Falcon

Перенесено из раздела "Компьютерная помощь".

Изменено 12 декабря, 2008 пользователем Falcon

[Falcon]

Здравствуйте, сейчас подумаем, куда бы тему переместить, вроде как она и не по продуктам ЛК, но и по теме борьбы с вирусами покатит.

 

Для начала может сделаете логи по правилам, их посмотрят и скажут, живут у вас "квартиранты" на компе или нет. Пока перекидываю тему в "Помощь по продуктам".

Изменено 12 декабря, 2008 пользователем Falcon

[Сержио]

Falcon,

логи по правилам я уже сделала и оптравил.

 

Вы лучше на мои вопросы ответьте. Ведь их всего четыре и они не про вирусы!

 

Добрые люди кто силен ответить на мои вопросы, а

[Falcon]

Если в этой теме, то неправильно, нужно 2 лога AVZ и лог HJT. =)

 

Ссылки по теме:

Конфигурирование Windows

Настройка служб

 

Способ №#1 - Автоматический:

Идем в AVZ - Файл - Мастер поиска и устранеения проблем - Пуск - отмечаем галочками и фиксим.

 

либо

 

Способ №2 - Ручной:

 

- Доступ к локальным дискам (C$, D$) можно ограничить следующим скриптом AVZ:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RebootWindows(true);
end.

 

- Для запрета доступа для незарегистрированных юзверей:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RebootWindows(true);
end.

Изменено 12 декабря, 2008 пользователем Falcon

[Сержио]

Помогите!

Все логи сделал, а как их на этом форуме к письму приложить?

Не могу понять! Такой функции в ответе почему-то не предлагают

[Falcon]

Не стоит паниковать, используйте расширенную форму =)

[Сержио]

Falcon!

Спасибо, логи оставил в другом моем сообщении.

virusinfo_syscure.zip

virusinfo_syscure.zip

[Тётя Евдокия]

Способ №#1 - Автоматический:

Идем в AVZ - Файл - Мастер поиска и устранеения проблем - Пуск - отмечаем галочками и фиксим.

Решила,наконец, выполнить правила.А как же найти этот "Файл" и дальше.Не знаю.Кто первый появится,пожалуйства разъясните побыстрее.И понагляднее в расчете на "Чайника".Файлы скачала,распоковала и сохранила.И сразу подробнее как высылать логи.Пошагово.Была в расширенной форме,через "обзор" хотела прикрепить,но что то ничего не получалось.Самостоятельная тренировка не удалась.Жду с нетерпением

[MedvedevUnited]

Здравствуйте.

 

Скажите, пожалуйста, Вы эти правила собираетесь выполнять (смущает цитата из поста Falcon'a)?

 

4. Распакуйте из архива и поместите в новую отдельную папку.

* Запустите AVZ и обновите базы ("Файл" => "Обновление баз"). Закройте AVZ

 

После запуска AVZ выберите пунтк меню "Файл", затем в открывшемся списке выберите пункт "Обновление баз":

 

 

В открывшемся окне "Оперативное автоматическое обновление" нажмите кнопку "Пуск" и дождитесь окончания процесса обновления баз.

 

7. Отключите восстановление системы (Windows Me/XP).

 

Информация о том, как отключить восстановление системы приведена в правилах оформления запроса. Дополнительную информацию можно найти здесь.

 

 

8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip.

 

Аналогично тому, как запускали обновление баз AVZ, запустите выполнение стандартного скрипта 3 (Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info"):

 

 

Теперь по отправке логов. Какие проблемы у Вас возникли при использовании расщиренной формы ответа? Нажмите кнопку "Обзор" -> выберите нужный файл -> дважды щелкните по нему мышкой -> нажмите на кнопку "Загрузить" (справа от кнопки "Обзор") и дождитесь окончания загрузки файла. После этого щелкните по надписи "Управление текущими файлами" -> в открывшемся списке щелкните по названию загруженного файла (или на значок документа с зеленым плюсом, слева от названия файла). Ссылка на загруженный файл будет добавлена в форму ответа. Повторите данную процедуру для всех файлов.

[Тётя Евдокия]

О,елки-палки.Тогда как же запустить эту утилату?Чтоб открылось тако окно?Може чо не так?Скачала архив на рабочий стол.Здесь же на бочем столе в новую папку распаковала с помощью мастера.Как же запускать?Эх не хватает знаний!.Разжуйте, пожалуйста.

[MedvedevUnited]

Зайдите в папку с распакованными файлами и дважды щелкните мышкой по значку утилиты AVZ (щит с мечом):

 

[Тётя Евдокия]

О как просто!СпасибоMedvedevUnited,тебе большое!Сейчас дожарю кролика и займусь.

А ты еще про логи вопрос видел.Разъясни,ага?

 

Ой .а что это меня в продвинутые занесли.Ведь чайник несусветный?Но очень хочет научиться...

[MedvedevUnited]

Не за что.

Кролика жалко. А какой вопрос про логи? Как их отправить? По этому поводу я в конце первого поста написал.

Продвинутый - это статус, который присваивается всем пользователям на этом форуме, написавшим более 50 сообщений.

[Тётя Евдокия]

Извини,спешила к кролику на плите,не дочитала про логи.Но до них еще не дошла.Опять возник вопрос ,кто побыстрее ответит.

7 пункт правил выполнила:Восстановление системы отключила.ИЕ запущен,а на какой он странице должен быть или неважно?И подключение к интернету должно быть при выполнении Скриптов(пункт 8 Правил)?Или ИЕ должен быть запущен без подключения к интеренету.Или я вобще все не так понимаю.Срочно жду.

 

SOS,ну что все меня отодвигаете,джентельмены?Неужели никто не хочет(или не знает) ответа на мои вопросы?Я ведь жду!Надо же правила до конца выполнить!

[MedvedevUnited]

Мы с удовольствием Вам поможем. Просто здесь, к сожалению, пока оперативных дежурных поменьше, чем на официальном форуме. Поэтому в выходные дни круглосуточного присутствия пользователей, готовых помочь нуждающимся, обеспечить не получается

 

Неважно на какой странице будет открыт браузер, главное, чтобы он был запущен. Подключение к интернету лучше оставить.