Суть такая. Постоянно выскакивает окошко Symantec как буд-то от меня уходит почта. По нетстату видно коннекты для подключений на внешний IP. Симантек и доктор веб молчат. Прошу помоч с проблемой. ;)
Printable View
Суть такая. Постоянно выскакивает окошко Symantec как буд-то от меня уходит почта. По нетстату видно коннекты для подключений на внешний IP. Симантек и доктор веб молчат. Прошу помоч с проблемой. ;)
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe:$DATA','');
QuarantineFile('c:\windows\system32\svchost.exe:ext.exe','');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe:$DATA');
DeleteFile('c:\windows\system32\svchost.exe:ext.exe');
BC_ImportALL;
BC_DeleteSvc('FCI');
ExecuteSysClean;
ExecuteRepair(6);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
Спасибо огромное за помощь и оперативность! :) Вот новые логи. Карантин выслал.
Логи чистые. Посмотрите, нужно ли вам что-нибудь из этого списка:
[code]
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> разрешена потенциально опасная служба TermService (Службы терминалов)
>> разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
[/code]
Что не нужно - отключим.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
И еще: что это за прокси-сервер?
[code]R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = as2301:8080
[/code]
Если сами прописывали, тогда ладно, иначе - пофиксите.
А если надоел заголовок в IE, пофиксите еще это:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer provided by *****
[/code]
Спасибо, отключать не надо. Почему же антивирус с последними базами не видел проблему? И что это за вирусы хитрые пошли? Как-то под svchost.exe прячутся...
С прокси все ок. Так надо. С заголовком тоже. Спасибо!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\svchost.exe:ext.exe - [B]Trojan.Win32.Agent.bwn[/B] (DrWEB: BackDoor.Bolg)[*] c:\\windows\\system32\\svchost.exe:ext.exe:$data - [B]Trojan.Win32.Agent.bwn[/B] (DrWEB: BackDoor.Bolg)[/LIST][/LIST]