Показано с 1 по 10 из 10.

eraseme Win32.HLLM.MyBot (заявка № 6163)

  1. #1
    dmitri33
    Guest

    eraseme Win32.HLLM.MyBot

    Последние три дня мой доктор веб отлавливает этого зверя, удаляет, но он восстанавливается. Буду признателен за помощь
    Вложения Вложения

  2. Реклама
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    967
    At1.job в шедулере убить ( также найти данный файл и удалить )

    Пофиксить данную строку в программе HijackThis:
    O23 - Service: 05074 - Unknown owner - \\194.67.119.175\Admin$\eraseme_47326.exe (file missing)
    , перегрузиться в safe mode .
    Пройтись антивирусoм по всем дискам .
    Поставить стенку aka FireWall . А то опять не это , так другое словишь

    Прислать :

    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP324\A0069954.exe
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070352.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070355.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070356.exe
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070357.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070358.dll
    Последний раз редактировалось drongo; 06.09.2006 в 12:48.

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    В HijackThis пофиксите строку:
    Код:
    O23 - Service: 05074 - Unknown owner - \\194.67.119.175\Admin$\eraseme_47326.exe (file missing)
    В планировщике заданий Windows удалите задание At1.job
    Включите файрвол, хотя бы родной. Установите пароли на все учётные записи с правами администратора, включая встроенного администратора. Можно его ещё и переименовать, если получится (в XP Home это очень неочевидное действие).

    Ещё пришлите для разборок в соответствии с Приложением 2:
    Код:
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP324\A0069954.exe
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070352.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070355.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070356.exe
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070357.dll
    C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070358.dll

  5. #4
    dmitri33
    Guest
    Архив зверья загрузил. Строку пофиксил, планировщик очистил...
    Последний раз редактировалось dmitri33; 08.09.2006 в 15:12.

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1636
    Всё присланное Adware.Altnet

    DrWeb не знает из присланных только 18-й образец, отправлен.
    (C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll)

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,624
    Вес репутации
    1287
    Цитата Сообщение от dmitri33
    Архив зверья загрузил. Строку пофиксил, планировщик очистил... ждем-с звериной реакции
    Судя по всему зверек пролазит через сеть. Уточните в каком именно файле он обнаруживается.
    Рекомендация + к тому что уже написал pig:
    установите обновления на Windows.

  8. #7
    dmitri33
    Guest
    установил обновления для винды, проверил авз диски в безопасном режиме, но к сожалению доктор веб опять отлавливает вирус - eraseme_14111.exe путь - \\194.67.119.175\Admin$ статус - Win32.HLLW.MyBot

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Кстати, это ваш IP или чей-то другой?

    А забавно:
    Код:
    inetnum:      194.67.119.0 - 194.67.119.255
    netname:      GEOKHI
    descr:        Vernadsky Institute of Geochemistry and Analitycal chemistry
    descr:        Moscow, Russia
    address:        Vernadsky Institute of Geochemistry and Analitycal chemistr
    address:        Kosygin st,19
    address:        Moscow, Russia
    phone:          +7 495 939 7008

  10. #9
    dmitri33
    Guest
    сетка института, телефон админа, айпишник мой
    что с вирусом то делать? не убивается гад
    Последний раз редактировалось dmitri33; 08.09.2006 в 15:17.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1288
    Да его вам кто-то извне всаживает. Причём тот, кто имеет к вам доступ по NetBIOS over TCP. Причём с правами администратора - с другими ресурс Admin$ не задействовать. Если сеть института на этот предмет закрыта снаружи правильно, то кто-то из своих заразился. Поэтому набирайте процитированный номер, зовите админа и начинайте широкомасштабное следствие. Или админ у вас декоративный?

    Или, как вариант, логически отцепите вашу машину от институтской сети. Снимите в свойствах сетевого подключения галочки с Клиента для сетей Microsoft и Службы доступа к файлам и принтерам. Файрвол активируйте.

  • Уважаемый(ая) dmitri33, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Ответов: 28
      Последнее сообщение: 07.12.2009, 00:08
    2. Ответов: 10
      Последнее сообщение: 31.07.2009, 23:56
    3. Win32.HLLW.MyBot.based лезет при загрузке
      От drew_f в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 20.05.2009, 00:43
    4. Не могу избаться от win32.HLLW.MyBot(Backdoor.Win32.SdBot.aya)
      От Drovosek в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 25.10.2006, 13:53
    5. Проблема после удаления Win32.HLLW.MyBot
      От Numb в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 13.07.2006, 17:38

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01155 seconds with 22 queries