Обърнал съм буквите, извини ме, още ми е никулденско.
Dockera правилно ме критикува ... [:D]
//edit
То че ми е винско, винско ми е, ама с това copy, paste без да чета ...
<blockquote id="quote"><font size="1" id="quote"><b id="quote">цитат:</b id="quote"></font id="quote"><table border="0" id="quote"><tr id="quote"><td class="quote" id="quote"><font size="1" id="quote">... а после станаха winhlpp32.exe и scvhost.exe. Работата се усложнява доста...
<div align="right">оргинално мнение на newuser</div id="right">
Напротив. Посетих *всички* сайтове, които ми дадохте. Не за първи път пиша във форум, така че спокойно . Въпросът е, че дори след като изпълних една по една стъпките, указани от Symantec за махането на вируса, той все пак беше засечен повторно от Symantec Antivirus Realtime Protection. Този път обаче беше инфектиран друг файл, както писах по-рано.
Някой не спомена ли нещо за Roron? Защото този се казва W32.HLLW.<font color="orange">Oror</font id="orange">.AG@mm. Вижда се, че съм подложен на постоянна атака от LAN-а. ZoneAlarm достатъчна ли е за да предотврати атаките?
P.S. А коя версия на ZoneAlarm бихте ми препоръчали - Pro, Plus или Free?
ZoneAlarm Pro, ама това няма да ти спре вирусите... И на това "upload tuka programi" му сложи парола все пак... Ако искаш я обяви в някакво readme, ама с тоя full access без парола не oror ами не знам какво още ще прилепиш...
За съжаление е точно Roron. Слушай сега, понеже разбирам че имаш локална мрежа и други компютри, направи задължително следните стъпки (иначе няма да се изчистиш никога):
Вариант 1 (според мен по-добрия):
1. Направи си Boot дискета.
2. Изтегли си F-prot за DOS.
3. Разархивирай го някъде в някоя директория, но на всички компютри в мрежата..
4. Рестартирай и зареди DOS от дискетата.
5. Пусни F-prot и изчисти всички вируси.
6. Изгаси засега този компютър и се прехвърли един по един на всички останали и повтори стъпки 4 и 5.
Ако имаш късмет ще си изчистил всичко. Тук ти препоръчвам да продължиш с вариант 2.
Вариант 2:
1. Изключи Switch-a или Hub-a на мрежата или всички такива ако са повече от един. Ако не ги знаеш къде са изключи задължително кабелите от мрежовите карти на ВСИЧКИ компютри в мрежата.
2. Пусни всеки един Windows на всички компютри в Safe mode.
3. Изчисти ги с антивирусна програма (която си изтеглил) един по един.
4. Направи рестарт на всички и пусни отново антивирусната програма.
5. Ако нямаш повече вируси можеш да включиш мрежата и не би трябвало да имаш повече проблеми.
Точка 4. я препоръчвам макар и да не е 100% задължителна. За ZoneAlarm всяка една версия ще ти върши работа, но е желателно да е инсталиран на интернет сървъра, защото иначе се губи смисъла от firewall.
P.S. За този вирус ако пуснеш антивирусна програма или изтриеш някой негов Key от Registry-то или изтриеш файла winfile.dll вирусът ще се активира и ще ти изтрие всички файлове от всички дискове... Има и още нещо лошо. Активира се и трие файловете и на 9-то и 19-то число... Утре е 9-ти (т.е. ще стане след час и половина), така че ако не знаеш какво правиш пропусни по-добре утрешния ден и ще си спестиш доста неприятности! Според мен е най-добре да извикаш някой, който разбира достатъчно за да се справи, иначе има голям шанс да си изпатиш сериозно! Стискам палци!
//edit
Ако не можеш да направиш горните неща на компютрите в мрежата си изключи твоя и се изчисти чрез горните стъпки и след това си инсталирай ZoneAlarm-a като не е лошо да му окажеш High за local и internet setting-ите, както и да изчистиш всички отметки от засечените мрежи в Local Zone Contents. Ако не го направиш ще се заразиш пак! Едва след това се вържи в мрежата пак. Ако ZoneAlarm-a те пита за някакъв Network му дай - No задължително!
Леле, човече, успя да ме стреснеш! Нямам достъп до локалните компютри по простата причина, че съм само един от потребителите, ползващи LAN Интернет в тази мрежа. Пипнах вируса докато разглеждах локалните компютри в My Network Places. Единственото, което мога да направя е да го изчистя от собствения си компютър. Ще сканирам PC-то още сега, но какво да правя при положение, че вирусът се активира като го изтрия?
DivX 5.5 Full.exe
\\Server2\upload tuka programi
Virus name: W32.HLLW.Oror.AG@mm
Computer: RAWSTEEL
User: Joro
Action taken: Quarantined
Status: Infected
Current location: Quarantine
Date found: 12/8/2003
Scan type: Realtime scan
Set action: Clean virus from file
Set backup action: Quarantine infected file
Същото го има и за WinAmp_3.1_Cool.exe. Ще потърся повече инфо в сайта на Symantec.
//edit Прочетох написаното за вируса в сайта на Symantec и не открих никакви промени в registry-то от страна на вируса. Всички keys си бяха същите, както са описани в Security Response, но сега ще направя едно сканиране на системата за по-сигурно. Цитирам стъпка 3 от инструкциите за почистване на вируса:
Run a full system scan, record the file names, and then delete all the files detected as W32.HLLW.Oror.C@mm. След опит да изтрия вируса, Symantec Antivirus казва, че но може да извърши операцията поради една от следните причини:
Файловете са изтрити или преместени
Компютърът, на който се съхраняват е изключен
Опитвам се да трия файлове, който се съдържат в e-mail
Днес е 9-то число и щом пишеш значи вирусът не е активен в момента (поне не е активен в паметта)... Иначе нямаше да пишеш със сигурност. Направи си Boot дискета (или ако не можеш някой да ти направи) и следвай горните стъпки, които съм ти написал. Повече от това не мога да ти помогна с писане... Послушай и Raid и на тази директория си сложи парола... А най-добре е да махнеш всички share-нати дискове и директории иначе все ще ревеш...
Сложих high security settings на gateway-а на локалната мрежа. Boot дискета имам още откакто си инсталирах Win-а. По какъв начин предлагаш да махна всички share-нати дискове и директории?
Нормално ли е да имам следния key в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run: <font color="orange">Configuration Loader REG_SZ scvhost.exe</font id="orange"> ?
Не е нормално... Това е вирус... За Share-ингите - Start\Settings\Control Panel\Computer management\Shared folders. Скритите share-нги (със знак $ накрая) се забраняват малко по трудно... Но ако ZoneAlarm-a ти работи те не са проблем... Можеш да махнеш обаче всички други. Също там от Local Users and Groups\Users си забрани Guest account-a, a на останалите (вкл. твоя) сложи пароли.
Щом е вирус го трия. Да, ZoneAlarm работи, но ми се струва, че забавя здраво Интернета... На два пъти се случва да блокира входящи requests от един и същи комп в мрежата, за който съм сигурен, че не е gateway, защото IP-то му не завършва на "0" или "1". Това е някоя от машините в мрежата, която сигурно е заразената. А наложително ли е да изключвам guest account-а? Иначе моят акаунт си има парола.
//edit След рестарт на компа ZoneAlarm ме попита следното:
Do you want to allow Generic Host Process for Win32 Services to act as a server?
<font color="red">svc</font id="red">host.exe НЕ Е вирус, както вече Malone и Dockera писаха. Услугите на този сървис се ползват от различни процеси (без да задълбаваме кои) и той е необходим за нормалната работа на системата ти. Обикновено имаш поне 5-6 активни инстанции на svchost. Съобщението на ZoneAlarm не е стряскащо (виж IP-то) - разреши му да "act as server". За всеки случай погледни в горния край на прозореца на ZA какви са ти активните svchost-ове и какви портове слушат. Ако са с номера под 1000 - нямаш грижи (в общия случай). Ако слуша 5000 - пак си ОК. Ако обаче имаш други (както при мен беше с 2869 например) - кажи кои са.
]
. Въпросът е, че дори след като изпълних една по една стъпките, указани от Symantec за махането на вируса, той все пак беше засечен повторно от Symantec Antivirus Realtime Protection. Този път обаче беше инфектиран друг файл, както писах по-рано.
Новини
Форум
Актуално
сървър