Последние три дня мой доктор веб отлавливает этого зверя, удаляет, но он восстанавливается. Буду признателен за помощь
Последние три дня мой доктор веб отлавливает этого зверя, удаляет, но он восстанавливается. Буду признателен за помощь
At1.job в шедулере убить ( также найти данный файл и удалить )
Пофиксить данную строку в программе HijackThis:
O23 - Service: 05074 - Unknown owner - \\194.67.119.175\Admin$\eraseme_47326.exe (file missing)
, перегрузиться в safe mode .
Пройтись антивирусoм по всем дискам .
Поставить стенку aka FireWall . А то опять не это , так другое словишь
Прислать :
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP324\A0069954.exe
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070352.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070355.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070356.exe
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070357.dll
C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070358.dll
Последний раз редактировалось drongo; 06.09.2006 в 12:48.
*Нажми и выполни, если хочешь чтобы помощь улучшилась и ускорилась
*MyFirefox Portable
special avz @ rapidshare.com
md5: 2091925798B7909E010E3F7E328C5F0D
В HijackThis пофиксите строку:
В планировщике заданий Windows удалите задание At1.jobКод:O23 - Service: 05074 - Unknown owner - \\194.67.119.175\Admin$\eraseme_47326.exe (file missing)
Включите файрвол, хотя бы родной. Установите пароли на все учётные записи с правами администратора, включая встроенного администратора. Можно его ещё и переименовать, если получится (в XP Home это очень неочевидное действие).
Ещё пришлите для разборок в соответствии с Приложением 2:
Код:C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP324\A0069954.exe C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070352.dll C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070355.dll C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070356.exe C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070357.dll C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070358.dll
Архив зверья загрузил. Строку пофиксил, планировщик очистил...
Последний раз редактировалось dmitri33; 08.09.2006 в 15:12.
Всё присланное Adware.Altnet
DrWeb не знает из присланных только 18-й образец, отправлен.
(C:\System Volume Information\_restore{56E6FC7B-C5DA-460C-A994-67A29C9DDA54}\RP327\A0070354.dll)
Судя по всему зверек пролазит через сеть. Уточните в каком именно файле он обнаруживается.Сообщение от dmitri33
Рекомендация + к тому что уже написал pig:
установите обновления на Windows.
установил обновления для винды, проверил авз диски в безопасном режиме, но к сожалению доктор веб опять отлавливает вирус - eraseme_14111.exe путь - \\194.67.119.175\Admin$ статус - Win32.HLLW.MyBot
Кстати, это ваш IP или чей-то другой?
А забавно:
Код:inetnum: 194.67.119.0 - 194.67.119.255 netname: GEOKHI descr: Vernadsky Institute of Geochemistry and Analitycal chemistry descr: Moscow, Russia address: Vernadsky Institute of Geochemistry and Analitycal chemistr address: Kosygin st,19 address: Moscow, Russia phone: +7 495 939 7008
сетка института, телефон админа, айпишник мой
что с вирусом то делать? не убивается гад
Последний раз редактировалось dmitri33; 08.09.2006 в 15:17.
Да его вам кто-то извне всаживает. Причём тот, кто имеет к вам доступ по NetBIOS over TCP. Причём с правами администратора - с другими ресурс Admin$ не задействовать. Если сеть института на этот предмет закрыта снаружи правильно, то кто-то из своих заразился. Поэтому набирайте процитированный номер, зовите админа и начинайте широкомасштабное следствие. Или админ у вас декоративный?
Или, как вариант, логически отцепите вашу машину от институтской сети. Снимите в свойствах сетевого подключения галочки с Клиента для сетей Microsoft и Службы доступа к файлам и принтерам. Файрвол активируйте.
Уважаемый(ая) dmitri33, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.