Здравствуйте, уважаемые специалисты!
Проблема следующая: около недели назад одновременно появились две проблемы - я попытался, но не смог проверить почту и микрофон в гарнитуре перестал работать. Объясню чуть подробнее. У меня в Оутлуке два удостоверения - для меня и для брата. Учетные записи у нас открыты на одном и том же сайте. Я проверил получение почты по своей учетной записи - все было в порядке, а при проверке почты по учетной записи брата при нажатии кнопки "Получить все" появлялось окошко, где просили ввести учетную запись и пароль (хотя все поля были заполнены правильным логином и паролем). Причем в настройках у меня стоит "Запомнить" и меню появляться не должно. При подтверждении логина и пароля появлялось сообщение об ошибке соединения с почтовым сервером. На компьютере стоит Касперский v.6.0.1.411. Я проверил отчеты. В отчете по защите нашел, что было "обнаружено потенциально опасное ПО Hidden install" - t0.exe.Касперский его удалил. Но через поиск фалов папке system32 я нашел t0.exe и t0 - файл параметров конфигурации. Удалять не стал. В интеренете нашел информацию, что после этого пропадает доступ в интернет. Кроме того появилось сетевое подключение, причем модемное dial-up, хотя у меня на компьютере никакого диал-апа отрадясь не было (DSLом пользуюсь). Я это соединение удалил. Да и еще как я писал выше, перестал работать микрофон в гарнитуре, подключенный на передней панели. Я не уверен, но эти два события может как то связаны? У меня есть еще микрофон, подключенный к материнке. Там он работал и работает. И микрофон из гарнитуры через то же гнездо работал. А вот в передней панели оба перестали работать. Я перустанавливал несколько раз дрова. Сначало не помогло, а потом вдруг микрофон заработал. Теперь опять перестал. В интернете я нашел пост, что у кого-то был троян, который аудио-настройки сбивал постоянно, в частности микрофон тоже не работал. "Железо" само по себе рабочее. В общем потом я нашел ваш сайт, прочитал все рекомендации, сохранил их, закачал все необходимые программы. Стал делать все по пунктам. Обновленный Касперский ничего не нашел. DrWeb, записанный предварительно на диск, нашел 2 файла Trojan.Proxy.1824 и 5 штук Dialer.Micro.origin . Троянов он удалил, а вот Dialer не стал, так как они неизлечимы (находяться по адресу C:\System Volume Information\_restore{652657C9-08D1-48C5-B556-C6D2663E035B}\). DrWeb их перенес (куда, я так и не понял, ведь программа была запущена с диска, а значит папок с карантином создано не было). Я собрался все делать дальше по вашим правилам, но пункт 7 гласит - Отключите восстановление системы. В ссылке же говорится, что "квалифицированным пользователям, а также всем в случае когда на компьютере имеется ценная информация не рекомендуется сразу отключать восстановление системы. Предварительно стоит убедиться что директория восстановления системы заражена". Я не особенно квалифицированный, но у меня на компьютере действительно есть ценная информация, а неизлечимые файлы, как я понял как раз и дирректории восстановления системы. Подскажите, пожалуйста, что мне делать дальше, чтобы и данные сохранить и компьютер почистить от вирусов и от всего остального?
P.S. Пока набирал Вам сообщение у меня стало соединение обрываться через определенное время, а потом не восстанавливалось. Я первый раз использовал WinsocxpFix, а потом функцию исправления в самом соединении. Вроде помогло. Но потом опять оборвалось. меня ни разу до этого соединение само не обрывалось. Может ваш сайт кикает за простой? Или проделки вируса?
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В логе всё чисто,пришлите файлы t0.exe и t0,предварительно заархивируйте их в zip архив с паролем "virus" и отправьте по ссылке http://virusinfo.info/upload_virus.php?tid=15045
Вы вернули все настройки вашего провайдера?ибо после применения утилиты WinsocxpFix они сбросились.
Да, все настройки вернул. У меня DSL-модем работает через сетевую карту, так что настройки обнулились у этого соединения (второе соединение - с интернетом - не сбилось). Я их восстановил. Запрошеные файлы через AVZ нашел, поместил в карантин и заархивировал как Вы просили. Буду ждать дальнейших инструкций.
Файл отослал по вышеуказаной ссылке.
У меня до сих пор отключено автовосстановление. Его уже можно включить или вообще не стоит?
И у меня есть еще несколько вопросов, если Вы не против.
1) У меня все еще не работает микрофон на передней панели. Может это быть последствием вируса? Может как-нибудь можно эти настройки восстановить? Или этот вопрос уже не по адресу?
2) Как мне обезопасить себя от повторения подобного? Ведь антивирус пропустил трояна? Может мне отключить ненужные службы и что-то еще? Было бы замечательно, если бы в рубрике Чаво был размещен совет или скрипт для AVZ, который бы отключал ненужные рядовому пользователю сервисы, являющиеся лазейкой для вирусов.
Добавлено через 10 минут
Да, еще один момент. В Documents and setings нашел папку карантина от DRWeb CureIt. Так вот там те пять зараженных файлов из папки _restore + descript.ion до сих пор находятся (вот куда он их поместил!). Что делать с ними?
Последний раз редактировалось tutank; 09.12.2007 в 18:06.
Причина: Добавлено
1 присланный файлик чистый ...
2 восстановление можно включить ...
3 что из этого используется ?.... остальное поможем отключить ....
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
4 фалы вкарантине веба можно удалить ....
Компьютер у меня домашний, поэтому из указанных служб я ни одной не знаю. Ни разу не пользовался. Из Безопасности, думаю, можно все отключить. И автозапуск тоже. Буду через setup ручками запускать.
Скрипт выполнил. Перезагрузился. Но до выполнения скрпта и сразу после перезагрузки KAV выдал предупреждение о том, что msmessenger.exe пытался запуститься и вмешаться в работу системы. Я его запретил. Как эту службу можно вообще отключить?
Если речь идет о программе Windows Messenger, то запустите ее через меню "Пуск - Программы" и в настройках уберите галочку "Запускать при старте Windows". А можно и вовсе от него избавиться через Установка/Удаление программ - Установка компонентов Windows.
Тьфу, тьфу, тьфу. Ничего мой компьютер болше не беспокоит. Дай бог, чтобы надолго. Спасибо большое за помощь и оперативность, с которой откликнулись на проблему. Как часто можно обращаться к вам для профилактики? Один раз в месяц не будет часто?
И еще как мне закрыть тему, поставив значок с большим пальцем вверх?
Для профилактики нужно под юзером сидеть с ограниченными правами , а не под админомПалец модераторы могут менять, сейчас сделаю
P.S.не забываем нажимать на 5 :http://www.eaward.ru/listprojs.php?w...at=1&proj=2038
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Dialer.Micro.origin
