Подскажите, как удалить модифицированный Win32/TrojanProxy.Agent из оперативной памяти ничего не повредив при этом? Инфекция происходит из файла G:\WINDOWS\system32\rsvp32_2.dll.
Что за х...ня непойму. ПАМАГИТИИИ!
11.04.2009 23:09
вирус блин... КАРАУЛ!!!!!!!!!!
12.04.2009 04:48
#1
Re: вирус блин... КАРАУЛ!!!!!!!!!!
ужс, ну и паника 
Антивирем слабо полечить или удалить?
12.04.2009 14:13
#2
Re: вирус блин... КАРАУЛ!!!!!!!!!!
ramafka
Видимо вы не читали предыдущие посты о вирусах и ничего не предпринимали по защите своего компьютера? Хорошо, когда все это обходится нам малой кровью, в крайнем случае переустановкой системы.
Другое дело вот такое обращение:
“Люди помогите!!! У меня вирус уничтожил абсолютно все документы, музыку, видео, картинки и самое-самое ценное, что есть на компе. Вчера я потерял 2 года своей работы + года 4 своих фотографий. Не считая музыки, которую собирал по крупицам и коллекционировал!!! Это настоящая трагедия!
Если кто-то может реально помочь - пишите в личку! Готов профинансировать такую помощь! Вся работа встала - много проблем на работе из-за потерянной информации... Данный вирус распространяется мгновенно и буквально за 1-2 минуты "ушатал" 160 Гигов информации”.
Как видим, вирус в этом случае не затронул систему, а уничтожил самое ценное – информацию.
Восстановление информации в данном случае очень затруднительно даже в лабораториях, которые специализируются на этом и никогда не дает 100% результат.
Сейчас в Америке гуляет пасхальный троян, ворующий деньги с интернет-счетов.
Троян Banker LSL перехватывает управление и считывает информацию с клавиатуры, отслеживает движения мышки и ее клики, перехватывает скриншоты открытых веб-страниц и считывает информацию, которую пользователь вводит при заполнении различных веб-форм.
Возможно, в скором времени этот вирус может появиться и у нас.
А пока у нас до сих пор ходит такой вирус, как Conficker (другие его названия - Downadup, Kido) правда уже несколько раз модифицированный.
Conficker использует уязвимость MS08-067 в операционной системе Microsoft Windows, распространяется с помощью внешних носителей, через сети и общие папки внутри локальной сети.
Как защитить себя от этой напасти говорилось в других постах.
Я не прошу вас ставить программу Microsoft Forefront для использования многоядерной защиты. Хотя она желательна для серверов при использовании от 5 до 9 антивирусных программ разных производителей.
Я выкладывал твик для закрытия дырок в файлообменник для всех Windows систем.
Эти дырки у всех можно закрыть и другим путем кроме хомяка, но этот твик универсален для всех Windows и сам создает ветки в вашем реестре.
На одном из Ухтинских сайтов рекомендован такой же твик, но без строки HonorAutoRunSetting.
Давайте посмотрим, что будет без этого параметра в реестре
Допустим
1. служба “Shell Hardware Detection” запущена
2. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDriveTypeAutoRun поставлено FF – полное закрытие
3. HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\HonorAutoRunSetting у вас вообще нет, или есть и установлена “0”
4. сосдаем папку бросаем autorun.inf и файл flipped.exe
Код
[Autorun]
open= flipped.exe
5. расшарим эту папку
6. на другой машине кто-то промапит эту шару. Именно промапит, чтобы появился новый диск
Он будет в панике от нашей шутки.
А теперь представьте в Autorun, вместо этого файла прописан машинный код на изменение вашего MBR. Тут уже многим не до смеха – невидимка убила ваш диск.
Поэтому без заплатки или с нулевым HonorAutoRunSetting могут быть неприятности. С заплаткой и “1” в HonorAutoRunSetting мы будем защищены
