Последние три дня мой доктор веб отлавливает этого зверя, удаляет, но он восстанавливается. Буду признателен за помощь
Printable View
Последние три дня мой доктор веб отлавливает этого зверя, удаляет, но он восстанавливается. Буду признателен за помощь
At1.job в шедулере убить ( также найти данный файл и удалить )
Пофиксить данную строку в программе HijackThis:
O23 - Service: 05074 - Unknown owner - \\194.67.119.175\Admin$\eraseme_47326.exe (file missing)
, перегрузиться в safe mode .
Пройтись антивирусoм по всем дискам .
Поставить стенку aka FireWall . А то опять не это , так другое словишь ;)
Прислать :
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP324\A0069954.exe
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070352.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070355.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070356.exe
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070357.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070358.dll
[url=http://virusinfo.info/showthread.php?t=4491]В HijackThis пофиксите[/url] строку:
[code]O23 - Service: 05074 - Unknown owner - \\194.67.119.175\Admin$\eraseme_47326.exe (file missing)[/code]
В планировщике заданий Windows удалите задание [b]At1.job[/b]
Включите файрвол, хотя бы родной. Установите пароли на все учётные записи с правами администратора, включая встроенного администратора. Можно его ещё и переименовать, если получится (в XP Home это очень неочевидное действие).
Ещё пришлите для разборок в соответствии с Приложением 2:
[code]C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP324\A0069954.exe
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070352.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070355.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070356.exe
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070357.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070358.dll[/code]
Архив зверья загрузил. Строку пофиксил, планировщик очистил...
Всё присланное Adware.Altnet
DrWeb не знает из присланных только 18-й образец, отправлен.
(C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll)
[QUOTE=dmitri33]Архив зверья загрузил. Строку пофиксил, планировщик очистил... ждем-с звериной реакции :)[/QUOTE]
Судя по всему зверек пролазит через сеть. Уточните в каком именно файле он обнаруживается.
Рекомендация + к тому что уже написал pig:
установите обновления на Windows.
установил обновления для винды, проверил авз диски в безопасном режиме, но к сожалению доктор веб опять отлавливает вирус - eraseme_14111.exe путь - \\194.67.119.175\Admin$ статус - Win32.HLLW.MyBot
Кстати, это ваш IP или чей-то другой?
А забавно:
[code]inetnum: 194.67.119.0 - 194.67.119.255
netname: GEOKHI
descr: Vernadsky Institute of Geochemistry and Analitycal chemistry
descr: Moscow, Russia
address: Vernadsky Institute of Geochemistry and Analitycal chemistr
address: Kosygin st,19
address: Moscow, Russia
phone: +7 495 939 7008[/code]
сетка института, телефон админа, айпишник мой
что с вирусом то делать? не убивается гад
Да его вам кто-то извне всаживает. Причём тот, кто имеет к вам доступ по NetBIOS over TCP. Причём с правами администратора - с другими ресурс Admin$ не задействовать. Если сеть института на этот предмет закрыта снаружи правильно, то кто-то из своих заразился. Поэтому набирайте процитированный номер, зовите админа и начинайте широкомасштабное следствие. Или админ у вас декоративный?
Или, как вариант, логически отцепите вашу машину от институтской сети. Снимите в свойствах сетевого подключения галочки с Клиента для сетей Microsoft и Службы доступа к файлам и принтерам. Файрвол активируйте.