здравствуйте. обращаюсь за помощью уже в третий раз из-за этих 2-х троянов. оба раза мне помогли, но потом они, похоже, появились опять. подскажите пожалуйста, как от них избавиться.
здравствуйте. обращаюсь за помощью уже в третий раз из-за этих 2-х троянов. оба раза мне помогли, но потом они, похоже, появились опять. подскажите пожалуйста, как от них избавиться.
Профиксите
Выполните в АВЗКод:O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe O20 - AppInit_DLLs: C:\WINDOWS\system32\sleep.dat
Карантин загрузите согласно п.3 правил. по этой ссылке http://virusinfo.info/upload_virus.php?tid=16611Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\timoty.exe',''); QuarantineFile('C:\WINDOWS\system32\sleep.dat',''); DeleteFile('C:\WINDOWS\system32\sleep.dat'); DeleteFile('C:\WINDOWS\system32\timoty.exe'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Эту запись Вы вносили в хост файл
Если нет то тоже профиксите.Код:O1 - Hosts: 85.17.145.222 www.kvnforall.info
Повторите логи.
Остается выяснить
Где вы ходите? Что запускаете?
Microsoft Most Valuable Professional in Consumer Security
ту запись я вносил в хостс самостоятельно.
карантин отправил, скрипт выполнил, логи прилагаю.
я не хожу ни по каким запретным сайтам, и с момента последнего моего лечения на этом форуме (4 дня назад) я вообще толком нигде и не был, и ничего странного не запускал. я грешу на чьё-то баловство с сетки, но может быть, я ошибаюсь.
В логах чисто. Что из этого не нужно?Код:>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр) >> Службы: разрешена потенциально опасная служба TermService (Службы терминалов) >> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP) >> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий) >> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing) >> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола) >> Безопасность: разрешен автозапуск программ с CDROM >> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...) >> Безопасность: к ПК разрешен доступ анонимного пользователя >> Безопасность: Разрешена отправка приглашений удаленному помошнику
мне трудно сказать, что не нужно. у меня обычный ПК с сеткой локальной. подскажите, что в таком случае можно отключить.
Выполните скрипт в AVZКод:begin RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0); RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0); SetServiceStart('RDSessMgr', 4); SetServiceStart('mnmsrvc', 4); SetServiceStart('Schedule', 4); SetServiceStart('SSDPSRV', 4); SetServiceStart('TermService', 4); SetServiceStart('RemoteRegistry', 4); end.
выполнил. что-то ещё?
и посоветуйте пожалуйста, какой файрволл / антивирус лучше использовать, чтобы такие нападки вирусов свести к минимуму.
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 5
- В ходе лечения обнаружены вредоносные программы:
- c:\\windows\\system32\\w32sys15.exe - Trojan.PHP.Turame.a (DrWEB: Trojan.Roro)
Уважаемый(ая) yevgeny, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.