здравствуйте. обращаюсь за помощью уже в третий раз из-за этих 2-х троянов. оба раза мне помогли, но потом они, похоже, появились опять. подскажите пожалуйста, как от них избавиться.
Printable View
здравствуйте. обращаюсь за помощью уже в третий раз из-за этих 2-х троянов. оба раза мне помогли, но потом они, похоже, появились опять. подскажите пожалуйста, как от них избавиться.
Профиксите
[CODE]O4 - HKCU\..\Run: [froody] C:\WINDOWS\system32\timoty.exe
O20 - AppInit_DLLs: C:\WINDOWS\system32\sleep.dat[/CODE]
Выполните в АВЗ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\timoty.exe','');
QuarantineFile('C:\WINDOWS\system32\sleep.dat','');
DeleteFile('C:\WINDOWS\system32\sleep.dat');
DeleteFile('C:\WINDOWS\system32\timoty.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Карантин загрузите согласно п.3 правил. по этой ссылке [url]http://virusinfo.info/upload_virus.php?tid=16611[/url]
Эту запись Вы вносили в хост файл
[code]O1 - Hosts: 85.17.145.222 www.kvnforall.info[/code]
Если нет то тоже профиксите.
Повторите логи.
Остается выяснить;)
Где вы ходите? Что запускаете?
ту запись я вносил в хостс самостоятельно.
карантин отправил, скрипт выполнил, логи прилагаю.
я не хожу ни по каким запретным сайтам, и с момента последнего моего лечения на этом форуме (4 дня назад) я вообще толком нигде и не был, и ничего странного не запускал. я грешу на чьё-то баловство с сетки, но может быть, я ошибаюсь.
В логах чисто. Что из этого не нужно?[CODE]>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику[/CODE]
мне трудно сказать, что не нужно. у меня обычный ПК с сеткой локальной. подскажите, что в таком случае можно отключить.
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.[/CODE]
выполнил. что-то ещё?
и посоветуйте пожалуйста, какой файрволл / антивирус лучше использовать, чтобы такие нападки вирусов свести к минимуму.
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\w32sys15.exe - [B]Trojan.PHP.Turame.a[/B] (DrWEB: Trojan.Roro)[/LIST][/LIST]