В данной теме оказывается помощь в борьбе с вирусами. Статьи и обсуждение новых вирусов [Для просмотра ссылки зарегистрируйтесь]

Внимание! Размещение вредоносных объектов, а так же способов их создания строго запрещено!

FAQ - Обязательно читать перед обращением за помощью в лечении
A
для начала скачайте данный софт:
1. [Для просмотра ссылки зарегистрируйтесь]
2. [Для просмотра ссылки зарегистрируйтесь]
3. [Для просмотра ссылки зарегистрируйтесь]

B
1. Проверьте антивирусом с последними базами. логи обнаружений выложить в эту тему.
2. Если нет антивируса, использовать [Для просмотра ссылки зарегистрируйтесь] от Касперского и [Для просмотра ссылки зарегистрируйтесь] от Dr.Web'a.

C
1. Распакуйте avz и обновите базы(файл--обновление баз) закройте avz.
2. Отключите восстановление системы!!!
(Панель управления--система--восстановление системы--поставить галочку "Запpетить восстановление системных файлов на всех дисках"--ок)
3. Запустить avz. файл--стандартные скрипты--Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info--выполнить отмеченные скрипты.
4. Перезагрузить компьютер.
5. запустить avz. файл--стандартные скрипты--Скрипт сбора информации для раздела "Помогите!" virusinfo.info--выполнить отмеченные скрипты.
6. Найти в директории AVZ в папке "LOG" архив virusinfo_syscure.zip и virusinfo_syscheck.zip. выложить в эту тему.
7. Запустить HijackThis--нажмите кнопку Do a system scan and save a logfile--сохраните лог--выложите его в данную тему.
8. Запустить GetSystemInfo.exe--выбрать куда сохранять лог. выложить в эту тему
всего у вас должно быть 4 лога.

© Использованы правила оформления запроса в разделе Помогите! портала VirusInfo.Info.

Дополнения:
[Для просмотра ссылки зарегистрируйтесь] -- если вы знаете точное название вируса, посмотрите в вирусной энциклопедии способы его лечения.
[Для просмотра ссылки зарегистрируйтесь] -- как дополнение к онлайн сканеру очень полезно.

Как выполнить скрипт в AVZ:
1. Скопируйте текст скрипта.
2. Запустите avz.
3. нажмите "файл"--"выполнить скрипт"
[Для просмотра ссылки зарегистрируйтесь]
4. В появившейся окно вставить текст скрипта и нажать кнопку "запустить"
[Для просмотра ссылки зарегистрируйтесь]

мне касперский иногда пишет что агент не может установить соединение

QUOTE

мне касперский иногда пишет что агент не может установить соединение

Теперь ищи трояны по компу , уж такая участь от него досталась.

Кто проводил аналитику?
Майл агент идентифицируется касперским как по, потому что:
1. по-тихому прописывается в автозагрузку
2. возможен перехват сигналов с клавиатуры, потому что присутствует управление горячими клавишами.

Добавлю, что лк уже связывалась с разработчиками майла и попросила решить проблему с их программой. те почему-то не шевелятся

А как-то раз у многих не мог работать Майл агент. Я со многими аськалась, и мне все говорили, что майл почему-то не работает. Тогда Я попыталась его открыть - бесполезно! Что это значит? У меня троян???

Sandra Nasic
Вполне может быть , проверяй наличие подозрительных процессов в системе , ну например svchost.exe , работающий не от имени системы / локал сервисов , а от юзера ( администратор и т.д ... )

ananistik

QUOTE

ну например svchost.exe , работающий не от имени системы / локал сервисов , а от юзера ( администратор и т.д ... )

Знать бы ещё, что это такое.... Я в этом неочень разбираюсь... Может, и знаю, но мне иногда названия ничего не говорят....
Но вот сейчас, например, я проверяю комп на наличие вирусов... Правда, у меня Доктор Веб....

Каспера попробуй 6.0.1.411 видит маскированные вири по процессу ( не по сигнатурам )
Процессы можно посмотреть , нажав ctrl+alt+del вкладка процессы
Лучше список процессов выложить , если какие-либо глючки компа есть

ananistik
Я бы с радостью Касперским проверила, если бы он меня в "черный список" не направил... Поэтому я искала тогда ключ, но так и не нашла. Вот и установила Доктора...
А, может, ты знаешь, где ключ (бесплатно, конечно) можно найти для Касперского?

QUOTE

А, может, ты знаешь, где ключ (бесплатно, конечно) можно найти для Касперского?

установите пробную и просканируйте

ananistik
вы так и не ответили на вопрос

Ell

QUOTE

установите пробную и просканируйте

У меня она и была пробная версия! Я теперь не могу пробной версией пользоваться, т.к. нахожусь как раз в том самом "черном списке"... Поэтому Доктор Веб стоит...
Я проверила Доктором - вроде бы нет... Но всё равно как-то стремно.
Кстати, на Докторе чтобы сделать сплошную проверку, как и что надо нажимать? А то там нет такого, как в Касперском: ПРОВЕРИТЬ ВЕСЬ КОМПЬЮТЕР... Там как-то всё по частям... Диск D, C и т.д. А, может, как-то можно весь и сразу просканировать на наличие вирусов?

Sandra Nasic
NOD32 скачайте, триальную на 30 дней. Словит все)))

Bagirrra

QUOTE

Sandra Nasic NOD32 скачайте, триальную на 30 дней. Словит все)))

А она не будет требовать от меня никаких ключей, как, например, от Касперского? И вообще - чем он лучше этих 2-х? Есть какие-то преимущества?

Ell
С удовольствием отвечаю на вопрос.:
Статистика приведена при помощи антивирусного ПО Kaspersky 6.0.1.411
1. Программа mail.ru агент постоянно пытается установить соединение с разными серверами ( неудачно ) , после чего странным образом в компе заводится тихий зверек , но вредныййй - троянским ПО звать.
2. Не известен протокол передачи сообщений , что вызывает подозрения о конфиденциальности инфы.
3. Самое главное - после полного удаления этой программы сегодня на компе нашел порядка 10-15 ее файлов ( разбросанных по компу и имеющих кучу копий ) и самое интересное - 7 ее ключей в системном реестре. И нашел опять же благодаря касперскому.
Цитата сообщения " Программа mailru.exe пытается скрытно загрузить на компьютер файл с адреса 85.140.*.* ( esgen.axl.dll.exe и zvund32.ehocomp.bat. Разрешить ? Запретить ? " Нажав запретить вылезло : Потенцияально опасное ПО . программа mailru.exe пытается прописать себя в автозапуск , что характерно... рекомендуется произвести откат.... "

Ваши мнения ?
Добавлено:
Sandra Nasic
На счет каспера - его ключи надо из реестра удалить , либо если " черный " ключ , то через меню самого каспера. Нод32 не юзал - не знаю , щас самое главное - слежение за выполняемыми онлайн процессами

ananistik@Tuesday, 30 January 2007, 7:21

QUOTE

Программа mail.ru агент постоянно пытается установить соединение с разными серверами ( неудачно )

Можно скинуть сюда, по каким именно? желательно ip:port

По проекту агент должен лезть только сюда

QUOTE

MMP - протокол соединения Mail.Ru Агента с общей сетью Mail.Ru. Рекомендованный для соединения сервер в любой момент времени можно получить в текстовом формате ip:port по адресу mrim.mail.ru:2042 и mrim.mail.ru:443.

QUOTE

2. Не известен протокол передачи сообщений , что вызывает подозрения о конфиденциальности инфы.

А описание протокола для разработчиков Вас не устраивает?
[Для просмотра ссылки зарегистрируйтесь]

QUOTE

Цитата сообщения " Программа mailru.exe пытается скрытно загрузить на компьютер файл с адреса 85.140.*.*

whois для данного дипазона показывает
whois 85.140.0.0

CODE

inetnum:        85.140.0.0 - 85.140.255.255 netname:        MTU-PPPOE descr:          ZAO MTU-Intel descr:          Mamonovskij pereulok d.5 descr:          123001, Moscow descr:          Russia country:        RU admin-c:        MTU1-RIPE tech-c:         MTU1-RIPE status:         ASSIGNED PA mnt-by:         MTU-NOC source:         RIPE # Filtered

nslookup mail.ru

CODE

Name:    mail.ru Address:  194.67.57.26

whois 194.67.57.26

QUOTE

inetnum:      194.67.57.0 - 194.67.57.255 netname:      MAILRU-NET2 descr:        Mail.ru descr:        Moscow, Russia country:      RU admin-c:      VG659-RIPE tech-c:       VG659-RIPE status:       ASSIGNED PA mnt-by:       AS3216-MNT source:       RIPE # Filtered

Диапазоны ip даже не принадлежат друг другу

QUOTE

3. Самое главное - после полного удаления этой программы сегодня на компе нашел порядка 10-15 ее файлов ( разбросанных по компу и имеющих кучу копий ) и самое интересное - 7 ее ключей в системном реестре. И нашел опять же благодаря касперскому.

Какие именно файлы и ключи в реестре удалались, имена и ветки рестра можно тоже сюда?

Более вероятным кажется присутствие на Вашей машине не известного AVP вируса/трояна, занесенного скорее всего и не агентом mail.ru.

ну не знаю...
давно юзаю маил агент...
никогда ничего не замечал плохого...
ни каспер, ни нод его не трогают...
а граждане откуда его сливали?
я лично сомневаюсь, что на официальном сайте mail.ru будет выложен заражённый вирусом файл.
здаётся мне, что если бы это было так - то кипиш давно бы поднялся...
Добавлено:
по моему глупость всё это... не может там быть вирус...

QUOTE

а граждане откуда его сливали? я лично сомневаюсь, что на официальном сайте mail.ru будет выложен заражённый вирусом файл.

Скачан был по ссылке с их банера ( новая версия агента mail.ru загрузи... )
Разработчики агента по этому поводу молчат ( отправлено уж 4 письма )

ananistik@Tuesday, 30 January 2007, 17:14

QUOTE

Скачан был по ссылке с их банера ( новая версия агента mail.ru загрузи... )

Ссылку на каком сайте, Mail.ru?

ananistik

QUOTE

Статистика приведена при помощи антивирусного ПО Kaspersky 6.0.1.411

то есть вами?

QUOTE

1. Программа mail.ru агент постоянно пытается установить соединение с разными серверами ( неудачно ) , после чего странным образом в компе заводится тихий зверек , но вредныййй - троянским ПО звать.

ну так посмотрите порты которые открываются.

Есть майл, который переработан под червя. если скачивайте с mail.ru, то там ложное срабатывание.
мои данные

QUOTE

Описание: Mail.Ru Agent Соединение: Направление:  Исходящее Протокол:  TCP Удаленный IP-адрес: f57.mail.ru (194.67.23.167) Удаленный порт:  2042 Локальный порт:  1341 Информация о процессе: Имя процесса:  Magent.exe ID процесса:  668 Файл приложения:  C:\DOCUMENTS AND SETTINGS\***\APPLICATION DATA\Mail.Ru\Agent\Magent.exe Командная строка: Информация о производителе: Производитель:  Mail.Ru Версия приложения:             4, 6, 1425, 0 Версия файла:  4, 6, 1425, 0

куча запросов на ип, различающихся по последней паре.
в результате не подключено. В MP2 (Касперский) обещали исправить.
Кстати разработчики майла тоже обещали исправить, потому что нод32 кажется тоже детектит

Спасибо вам за инфу...

АААГГГАА. Спасибо

Вышел вирус Пентагон!!!! Убивает файлы с разшерением *ехе !!! Вчера паразита заловил!!!!

Ell

QUOTE

установите пробную и просканируйте

Я бы с радостью, но проблемы, почему я не могу установить пробную версию каспера, я уже описала выше. А именно - попала в "черный список". И теперь как установишь каспера, нужен ключ. А иначе не будет НИКАКИХ обновлений. А зачем мне антивирус без обновлений? Вот так вот.

Sandra Nasic
Ключ к Касперу можно найти в разделе [Для просмотра ссылки зарегистрируйтесь].

был у меня давно какой-то вирус...так он каждый раз при загрузке компа удалял около 500 мб последних использованных файлов

из антивирусов предпочитаю нод 32...остальные не нравятся

Sandra Nasic@Friday, 16 February 2007, 1:59

QUOTE

А зачем мне антивирус без обновлений? Вот так вот.

Бесплатную, с ключем на 1 год, но урезанную версию AVP от AOL можно скачать здесь.

[Для просмотра ссылки зарегистрируйтесь]?

Ребята, все темы про ключи в [Для просмотра ссылки зарегистрируйтесь].

bestya

QUOTE

Бесплатную, с ключем на 1 год, но урезанную версию AVP от AOL можно скачать здесь.

Как понять урезанную? Чего в ней не хватает?

Переместил пост в тему [Для просмотра ссылки зарегистрируйтесь]
ответ там

а то ...
Duke@Friday, 16 February 2007, 12:40

QUOTE

Ребята, все темы про ключи в Андеграунд.

QUOTE

Значит, если есть антивирус, то можно быть спокойной?

антивирус+фаерволл+все заплатки+последний устойчивый сервис пак+отключённые небезопасные компоненты+(самое главное) ваша осторожность=почти 100% безопасности.

QUOTE

Он у меня когда-то был... Очень плохая штука. Жрет очень много, если его не удалить вовремя...

естественно. он вырубает почти все процессы и освободившееся место занимает сам

Добавка про вирус из ICQ - разработан китайцами !!!! Инфорсация о домене , где лежит файл с вирем :

QUOTE

Domain Name:lasetionjertunhdesun.com Registrant: Dima li jungonglu1219hao 200093 Administrative Contact: Dima li Dima li jungonglu1219hao shang hai Shanghai 200093 China tel: 86 021 76886639 fax: 86 021 76886639 mmlara@163.com Technical Contact: centaur doing centaur doing tty xi san qu 4#3101 bei jing Beijing 102218 China tel: 86 010 64117521 fax: 86 010 64117521 mmlara@163.com Billing Contact: centaur doing centaur doing tty xi san qu 4#3101 bei jing Beijing 102218 China tel: 86 010 64117521 fax: 86 010 64117521 mmlara@163.com Registration Date: 2006-10-19   Update Date: 2007-02-21   Expiration Date: 2007-10-19 Primary DNS: ns.kinmdesonpadefun.com 81.177.20.152 Secondary DNS: ns.kitiondkefunjderindaseri.com 81.177.20.152

Еще , если у вас QIP например , и от юзера приходит ссылка , то во время рассылки вируса его IP адрес виден как на ладоне.
Какой антивирус ? :
Как показала практика - С данным троянцем абсолютно не справился NOD32, Касперский же версии 6.0.1.411 написал о его удалении , но вирь спокойно продолжал проявлять себя. В процессах маскирует себя под процессы win32

Новая модификация троянской программы для кражи паролей , инфы и т.д ( Trojan-PSW.Win32.Small.bs )
Характеристики поведения :
1. В процесс кидается файл 9129837.exe
2. Возникают частые ошибки браузеров , работающих на платформе IE
3. На компьютере создается учетная запись " adminEstrator " ( именно с буквой е ) , которая как правило закрыта паролем.
4. После запуска троянец добавляет следующую запись в системный реестр:
[HKLM\System\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\
StandardProfile\
AuthorizedApplications\List]
"<имя троянской программы>" = "<имя троянской программы>:*:Enabled:
<имя троянца без расширения>"

5. Наличие зараженных .exe файлов в директории %WinDir%\Windows
6. На рабочем столе появляется лог файл .


Если вы используете антивирусное ПО NOD 32 , знайте , что зараженные файлы , собственно как и сам вирус он не опознает.
После NOD 32 был установлен AVP personal pro 6.0.1.411 , который нашел 107 вирусов. В данный момент пойду проверяться avastOM

вирус был получен средствами сетевой атаки

У меня нод стоит и нет не каких атак, но мож это просто он не видит, как можно узнать не ставя на комп каспера, а то мне мой нод удалять не охото, или так чтоб одновремменно

TERMIN2783
Вот одновременно если , зайди на kaspersky.ru и выполни онлайн сканирование системы ( желательно чем полнее выберешь , тем лучше )
Проверка покажет , что есть , или нет. Я еще слежу по процессам всегда
Свой мусор я знаю , а лишнее - подозрительно , вот и начинаю проверять

НАРОД!!!!! Помогите, пожалуйста!!!!
У меня только что обнаружился троян!
Trojan-Downloader.VBS.Small.dh
Его реально удалить????

Sandra Nasic
реально.нет ничего, что нельзя удалить. в первую очередь поставь фаерволл, потому что этот троян качает другие из сети.
потом:как ты его обнаружила и почему антивирус не удалил?

Ell

QUOTE

в первую очередь поставь фаерволл

Что это такое??

QUOTE

потом:как ты его обнаружила и почему антивирус не удалил?

Каспер выдал

Sandra Nasic

QUOTE

Что это такое??

это подобие встроенного брандмауэра windows.
касперский какой? kis/kav? желательно полную версию.
этот вирус возможно создал файл C:\WINDOWS\system32\svch6f4.dll
1. обнови антивирус
2. проверь весь комп(желательно с расширенными базами)
3.если не удалит, то проверять [Для просмотра ссылки зарегистрируйтесь] и [Для просмотра ссылки зарегистрируйтесь]. в настройках avz настрой методику лечения

P.S. кстати касперский с ним что-нибудь сделал?

QUOTE

1. обнови антивирус

ОБНОВИЛА.

QUOTE

2. проверь весь комп(желательно с расширенными базами)

Проверила - ничего не нашел.

QUOTE

если не удалит, то проверять этим и avz. в настройках avz настрой методику лечения

Сейчас попробую, спасибо

QUOTE

P.S. кстати касперский с ним что-нибудь сделал?

Ничего. Хотя нет - он заблокировал его, т.к. пишет в отчете это:

1) 04.03.2007 13:34:12 Вредоносный скрипт <http://www.najti.ru/[1]>: обнаружено: троянская программа 'Trojan-Downloader.VBS.Small.dh'.
2) 04.03.2007 13:34:12 Вредоносный скрипт <http://www.najti.ru/[1]>: доступ заблокирован.
3) 04.03.2007 13:34:12 Вредоносный скрипт <http://www.najti.ru/[1]>: обнаружено: троянская программа 'Trojan-Downloader.VBS.Small.dh'.
4) 04.03.2007 13:34:12 Вредоносный скрипт <http://www.najti.ru/[1]>: доступ заблокирован.
Добавлено:
Ell

QUOTE

касперский какой? kis/kav? желательно полную версию.

У меня kav - на один месяц. Из инета скачена.
Добавлено:
Вот уже в который раз сканирую МОЙ КОМПЬЮЕТР И ВСЮ СИСТЕМУ, а он мне ничего не нашел... Странно даже как-то....

Sandra Nasic
это web-защита. троян не скачан на компьютер. на сайте [Для просмотра ссылки зарегистрируйтесь] опасный скрипт
вот настройки, которые я советую поставить в веб-защите.
[Для просмотра ссылки зарегистрируйтесь]
при проверке с буферизацией используется дополнительный трафик


ваш компьютер чист

Ell
Всё именно так и стояло. Разве что кроме уровеня защиты - он стоял на среднем уровне. И ещё:
Там, где написано ДОВЕРЕННЫЕ АДРЕСА (URL)
есть 4 строчки. У меня же такого нет. Это обязательно. Если да, то что там написано? Не пойму...
Добавлено:
И кстати, когда открываю окно с Веб_Антивируса, он мне по-прежнему пишет:
Всего проверено: ....
Обнаружено: 1
Вот эта единица как-то и на что-то влияет?

Sandra Nasic
это не нужно. эта функция для другой версии антивируса( у меня бета сейчас стоит). Там они просто автоматически при обновлении ставятся. Вам туда писать ничего не надо

Ell

QUOTE

это не нужно. эта функция для другой версии антивируса( у меня бета сейчас стоит)

Спасибо.

А как насчет ответа на вопрос:

QUOTE

И кстати, когда открываю окно с Веб_Антивируса, он мне по-прежнему пишет: Всего проверено: .... Обнаружено: 1 Вот эта единица как-то и на что-то влияет?

QUOTE

Вот эта единица как-то и на что-то влияет?

это отчёт антивируса сколько он обнаружил вредоносных объектов. если хотите убрать единицу, тогда щёлкните на слово обнаружено, откроется статистика. там будет во вкладке обнаружено название чего он нашёл. на названии правой кнопкой и удалить из списка

Ell

QUOTE

это отчёт антивируса сколько он обнаружил вредоносных объектов. если хотите убрать единицу, тогда щёлкните на слово обнаружено, откроется статистика. там будет во вкладке обнаружено название чего он нашёл. на названии правой кнопкой и удалить из списка

Спасибо ещё раз. Вы мне очень помогли.

Добавлено:
Вот, кстати, информация, которую нашла:

[Для просмотра ссылки зарегистрируйтесь]

Информация о владельце домена najti.ru ( зараженного вирусом )
domain: NAJTI.RU
type: CORPORATE
nserver: ns1.hc.ru.
nserver: ns2.hc.ru.
state: REGISTERED, DELEGATED
person: Alex A Shatskov
phone: +7 926 1645200
fax-no: +7 926 1645200
e-mail: 20573@mail.ru
registrar: CENTROHOST-REG-RIPN
created: 2006.11.08
paid-till: 2007.11.08
source: TC-RIPN

Ко мне троян тут бьется, и файлы свои закидывает время от времени, я их уже замучался удалять, файлы идут с адреса 193.37.152.88
Узнал в Оутпосте. Так вот моно как нить заболокировать его ваще.
Пасиб!:)

TERMIN2783
в невидимый режим и в оутпосте была такая функция, не помню правда где...блокирование удалённого ip или что-то в этом роде

TERMIN2783@Tuesday, 13 March 2007, 21:34

QUOTE

Так вот моно как нить заболокировать его ваще

Для outpost есть модуль Blockpost, позволяет блокировать заданные ip
[Для просмотра ссылки зарегистрируйтесь]

Может, немного не то... Но...
Вчера у подруги (как она сама рассказала сегодня) обнаружился вирус. Причем выглядело это так:
сидит она, значит, просматривает странички, как всегда. И тут появляется какой-то гном, собирает ВСЁ с рабочего стола, показывает ей "фак" и уходит! Дальше комп вырубился. Во как! Что это?

что-то вроде программ-шуток
которые тоже к вирусам относят

Возможно у неё закончился ключ(обновление),не обратив внимание,при атаке ip.адреса,может такое произойти и не только.
Я вот строго держу это под контролем.
На работе -офисных компах ,бывает неожиданно по 3 атаки в день,потом месяц тишина,-щупают.
Не лицензионные антивирусы не желательны,типа NOD-32 и т.д.,будте осторожны .

QUOTE

бывает неожиданно по 3 атаки в день

у меня бывает и по 94

QUOTE

Не лицензионные антивирусы не желательны

почему?

3 -я имел ввиду сразу с трёх адресов ,а попыток не счесть,-по системе .
Причин много,самая разпространённая,-хотят качнуть через тебя рекламу,если получится твой комп будет тупить иногда.

HEADHUNTER-1

QUOTE

3 -я имел ввиду сразу с трёх адресов

ну так и это не ограничение, особенно если нет инвизного режима работы в сети
а антивирусы то почему нежелательны?

Тебя кто-то прессует видимо,а может родню.
А антивир. наооборот желательны и категорически обязателбны,-ты чуть не поняла,но лицензионные.
Лучшие ,которые сначало загружают в себя ,как-бы буферуют ,потом выкладывают.

QUOTE

Тебя кто-то прессует видимо,а может родню.

это к чему вообще?

QUOTE

А антивир. наооборот желательны и категорически обязателбны,-ты чуть не поняла,но лицензионные.

так у нас 90% на пиратках сидят

QUOTE

Лучшие ,которые сначало загружают в себя

лучшие-это те, которые анализируют трафик в потоковом режиме

Sandra Nasic

QUOTE

Причем выглядело это так: сидит она, значит, просматривает странички, как всегда. И тут появляется какой-то гном, собирает ВСЁ с рабочего стола, показывает ей "фак" и уходит! Дальше комп вырубился. Во как! Что это?

жесть
Пусть ставит и обновляет антивирус, просматривает автозагрузки.
Ell

QUOTE

лучшие-это те, которые анализируют трафик в потоковом режиме

ППКС
Но сейчас, все последние антивири так делают.

Duke
теперь встал вопрос в скорости и качестве

Она бы с радостью проверила всё, но комп-то не включается. Так что теперь все, как говорится, видимо, придется заново "строить".

Скорость да ,а качество при чём и вообще если знаешь ,чего спрашиваешь,...скучно?

заканчиваем флуд.

На данный момент AVP 6.0.1.411 считаю самым нормальным антивирем. Мало того хорошо видит атаки на комп и хорошо видит подозрительные приложения , весящие в память

ananistik

QUOTE

На данный момент AVP 6.0.1.411 считаю самым нормальным антивирем.

Не могли бы Вы дать ссылочку на этот антивирус? Я бы просмотрела...

Sandra Nasic@Saturday, 17 March 2007, 20:06

QUOTE

Не могли бы Вы дать ссылочку на этот антивирус? Я бы просмотрела...

[Для просмотра ссылки зарегистрируйтесь]

ananistik
Sandra Nasic
bestya
Антивирусы обсудить лучше в разделе [Для просмотра ссылки зарегистрируйтесь]

Господи! И сколько можно, интересно, Троянов выпускать...?
Спасибо за информацию.

Sandra Nasic
на самом деле их намного больше. я выкладываю самых активных

Ell

QUOTE

Sandra Nasicна самом деле их намного больше. я выкладываю самых активных

Это я знаю. Достаточно только выйти на лаораторию Касперского - много чего увидеть можно...

Ell
Sandra Nasic
В самом деле, вирусов, троянов гораздо меньше выходит, чем добавляются в базы антивирусов.
Просто основная масса это модификации...

Duke
естественно. некоторые модификации иденфицируются по общему признаку, а взять те же пинчи. модификацию не секут многие антивирусы. поэтому приходится добавлять в базу
а по сути своей добавляют чтоб по названию пользователь мог обратиться в саппорт

Ell
Во во ! но так же есть такое свойство у некоторых троев и вирусов, как полиморфность ! грамотно написанная вредноносная прога, может очень долго водить за нос антивирусники.
Так что главная защита- голова

А у меня вот недавно на компе какой-то вирус завелся, а Касперский его не обнаруживает (хотя у меня лицензия давно истекла и антивирусные базы устарели года на 4, может, из-за этого?).
Когда отправляю кому-нибудь письмо по электронной почте, мне Рамблер пишет: "Ваш компьютер заражен вирусом, который только что попытался добавить к тексту вашего письма вредоносный код". А квип (который аська) всему списку контактов разослал какую-то левую ссылку, которая ни у кого не открывается... Что делать, ума не приложу?
Если купить новую версию Касперского, как думаете, поможет?

поставь себе триал 6 линейки касперского и базы обнови

Ell

QUOTE

триал 6 линейки касперского

а эт че такое? Извините, но я в этом ни бум-бум...

Идёте на www.avp.ru
Скачиваете Trial версию AntiVirus Personal 6 и устанавливаете. Сканируете систему и удаляете вирус. А с базой четырёхлетней давности проще не иметь антивируса вовсе - чтобы не занимать просто так память компа ненужной резидентной программой.

QUOTE

антивирусные базы устарели года на 4

у тебя не комп, а хранилище вирусов, если ты все эти 4 года в инэте сидишь, только с этим антивирусом...
поставь фаервол, антивирус, естессно который обновляться будет. Эти две вещи необходимы просто, дабы обесопатить хоть как-то себя, тем более если пользуешься какими - нибудь качалками, постоянно в нете сидишь...
Да и какой смысл от антивируса, без базы этих самых вирусов?!

хм...не знаю...но думаю, что лучший антивирус всеже находится в голове, а фсе эти АВПшки НА ВЕБы ОФФИСКАНы и т.д. по большей части ток место занимают, да тачку тормозят...конечно, есть немного пользы от сих прог (например когда кто нить чонить левое приносит, или по глупости своей залезет куда не следует), но не более...в общем не юзаю ни фаирволов (потому что это дело негативно влияет на поток сетевой информации, т.е. график задержки всесто гладкого становится пилообразным), ни а-вирей..правда был случаек, где был расстроен...трой один просочился, который лечить пришлось вебом, остальные а-вири просто удаляли ЕХЕшники...это ещё одна из причин, почему нежелательно, чтобы проверка шла "на лету"...ну и о главном, знать список процессов на память, или лучше даже записать..

QUOTE

по большей части ток место занимают, да тачку тормозят...конечно, есть немного пользы от сих прог

еще один видимо у кого комп заражен...
У меня стоит и то, и другое, и антиспаи всякие, знаешь, никаких задержек, никакакого вреда от них не наблюдаю. Как грузился комп, как открывался инет страницы, никаких задержек, все устраивает. Блокируется много чего не нужного и вредоносного.
Как можно качать что-то с нета и не проверять антивирусом хотя бы? А от не нужных страниц ничего не убережет, ищешь музыку - напарываешься на порно сайты...
Хотя если ты в нэте заходишь только на 1-2 сайта, не качаешь ничего (взять хотя бы программы неоходимые, тот же винамп, к таким как раз довольно часто лепятся трояны, прозвонщики и тп гадость), да и в принципе не пользуешься инетом, то все равно антивирь нужен, хотя бы даже для того чтобы диск нелицензионный какой проверить, кто знает что в нем...

Так что зря это вы не защищаете себя. Выбирайте безопасный...инэт .

Soltera
если знать основы, то и антивирус не нужен. у меня его например сейчас нет, на компьютере при сканировании 120 модификаций и ни одного тормоза или похищения данных

Кстати, недавно ЛК опубликовала информацию о первом вирусе для ipod. назвали его podloso

Ell
так многие в том то и дело обычные пользователи, которым важно включить, полазить, скачать ... И не думать о процессах, проверять и ковыряться в системных журналах и тп... На таких во многом и расчитаны все вирусы, использовать лемерский комп как "два пальца об асфальт".
сори за отход от темы.

Soltera
дело ведь не тока в иНете...но всеж...есть вероятность того, что у тебя просто стажу маловато да возможностей тобой открыто тоже не ахти...со временем, когда обретаешь опыт с работой ПК, начинаешь замечать чуть ли не микросекунды тех же самых задержек...бывало такое, если там к примеру чонить в ОСи буксанет, то чуйство возникает, что все процессы работы ПК идут как то тяжело, со скрипом...

JShadowLord
знаешь, не первый день у компа,
и редко когда зову на помощь кого-то. Конечно не считаю себя знатоком каким -то, обычный пользователь. О таких я и говорю.

QUOTE

начинаешь замечать чуть ли не микросекунды тех же самых задержек.

Когда у меня только появился комп, я как и все мало чего понимающие, относилась к каким-то задержкам и долгой загрузки программ очень не адекватно, меня раздрожала каждая пауза... Так что это не факт. Главное чтобы руки из того места росли, и все будет норм.
Да и в то время, я напарывалась на вирусы на дискетах, т.к. ни о каком антивире и не думала. Когда появился у меня инэт, тож без фаерволов и тп сидела. В один прекрасный день, случилось жуткая неприятность, оказывается у меня была огромная куча мелких =тварей=. Пришлось сносить систему, всяких глюков немерено было.После я опять - таки, как ламер, думала, что лазить качать всякую ненужность не буду. Опять все мои наивные мечты накрылись переустановкой оси. Так что знаешь ли с защитой все-таки оно понадежнее будет. И то что антивирус пропустит ( а все они пропускать могут разные вируснячки), фаервол прикроет.

Soltera
Понятно фсе с тобой...в принципе такое вероятно (вспоминая системное администрирование)...поэтому сиё дело в какой то степени оправдано....единственное что тут рубит - это осторожность и стремление познавать..хотя это уже выбор самого человека....ну а понту ради, за свою никчемную жисть со своей ОСью так маиться не приходилось...была зараза разок конечно 2.5 года назад, после чего тфу тфу всё ф порядке...просто в действительности не лажу где не попадя, а только по проверенным источникам...ну и тут есть момент внутренних настроек политики безопасности, который делает запросы на просматривание контента...так что тут можно сказать, учись познавай, развивай чуйства...

Ell

QUOTE

если знать основы, то и антивирус не нужен.

Ты не права.
Даже если быть гуру в компах, сетях и т.д. то антивирус и файрвол нужны всё равно !
Soltera

QUOTE

Так что знаешь ли с защитой все-таки оно понадежнее будет.

ППКС. Гораздо......
JShadowLord
Тоже согласен. Если с "головой" работать на компе, в инете, то вероятность нарваться на неприятности уменьшается практически до нуля..... хотя всёже вероятность встрять есть. Да и форсмажор.....

Солома
Заходишь на сайт:
[Для просмотра ссылки зарегистрируйтесь]
И скачиваешь вот эту утилитку:
[Для просмотра ссылки зарегистрируйтесь]
Это бесплатный антивирусный сканер. От появления вирусов не убережет, но обнаружить/обезвредить может. Правда не всегда может обезвредить активный вирус. Запускать лучше из безопасного режима.

Duke
чтобы не заразиться да, но я не бросаюсь в панику от этого
тем более по роду своей деятельности приходиться специально сажать себе трояны

Ell

QUOTE

тем более по роду своей деятельности приходиться специально сажать себе трояны

хм. и что это за род деятельности ?

Duke
скорее хобби. я бета тестер продуктов лаборатории касперского
правда последние продукты после 621 не тестировала

Ell
Дак поставь эмулятор и убивай там винду зачем рабочую то гробить ?

мона ещё замутить отдельный винт с 2мя разделами, где будет на первом разделе установлена винда и прочий софт (в т.ч. и тестовый) а на втором - бэкап всего этого дела хотя бы от акрониса (и желательно, чтобы больше ничего не было)....если всё загнется, то бэкап поднял и можно мутить дела дальше...

у меня всё проще было. хард 20 гб на убийство
там тестировалось практически всё

Ell

QUOTE

у меня всё проще было. хард 20 гб на убийство  там тестировалось практически всё

да нет особого смысла от 2го харда ! если какой либо вирус коцать начнёт инфу, то он не побрезгует и первым винтом А каждый раз физически перетыкать винты.....гемор.
А система в эмуляторе полностью изолирована от основной системы.

Duke
так не интересно

Ell
А не могла бы ты выложить информацию о тм вирусе (пинче), что был у меня недавно?

Sandra Nasic
ссылка уже недействительна, а название я не помню

Ell

QUOTE

Sandra Nasicссылка уже недействительна, а название я не помню

Ладно. Спасибо

Sandra Nasic

QUOTE

Pinch - это троянская программа, написанная на языке Ассемблера (masm), обладающая маленьким размером (около 20кб) и потрясающими возможностями. Среди возможностей: похищение паролей от программ (im, mail, ftp, browser, etc. список поддерживаемых программ в разделе "ВОЗМОЖНОСТИ"). Так же есть функции удаленного контроля, доступ к файловой системе, socks5, proxy, отправки скриншота, кейлоггер и другое.

bestya
она просила конкретный пинч, ссылка у меня в личке, но его уже затёрли

Ell

QUOTE

недоработка однако

ну и слава богу

Ell

QUOTE

от себя хочу добавить, что зверёк прикольный, мне понравился,

Уже испробовала на себе? Хотя да... Ты ж у нас "проверяющий" этого дела))) Бедный твой комп!

QUOTE

недоработка однако

Ну вот и хорошо))

QUOTE

Уже испробовала на себе? Хотя да... Ты ж у нас "проверяющий" этого дела)))

просто это интересно

QUOTE

Бедный твой комп!

мой малыш уже привык, тем более я не бездумно себе всякую дрянь сажаю

QUOTE

ну и слава богу

QUOTE

Ну вот и хорошо))

страшно?

Ell

QUOTE

страшно?

Да нет. Чего тут такого-то?

Ух ты! А вот и снова гости, как я посмотрю...

ок пасиб, инфа принята к сведению

[Для просмотра ссылки зарегистрируйтесь]
ссылки в принципе от чужих открывать не надо

Ell
учтемс...

QUOTE

ссылки в принципе от чужих открывать не надо

в том то и дело, что ни одной ссылки от чужих небыло.
я 2 дня небыл в инете, а сегодня включил асю и мне от 11 человек пришло это. Все знакомые. Мало того, большинство я знаю лично.
Меня насторожило то, что текст везде одинаковый, потому и не пошел по ссылке. А потом узнал чего да как

VALidol©
пусть машины чистят свои.

VALidol©

QUOTE

Поиск мобильника на карте города, меня показала верно, жаль точность небольшая

А с какими операторами работает?

Ell
ну это ясное дело... вопрос в том, что номера некоторые потеряли безвозвратно... непонятно првда, зачем нужен 9-знак с незапоминающимся набором цифр?

pressorerster
приятно работать с умными людьми
попробуй, может с твоим работает

VALidol©
возможно что в самом пинче/трое заложена смена пароля, поэтому и уводят даже кривые номера

VALidol©

QUOTE

непонятно првда, зачем нужен 9-знак с незапоминающимся набором цифр?

дак а вирус то всё подряд чикает. а уж хозяин потом выберет красивые номерки
Добавлено:
Тема объединена.

Вопрос!
Кто знает хоть ЧТО-ТО о ТРОЯНе Win32:StartPage-187 [Trj]??

Просто сейчас пришлось с ним столкнуться. С ним-тоя разобралась. А вот о нем ничего не знаю... Что он из себя представляет?

Sandra Nasic

QUOTE

Кто знает хоть ЧТО-ТО о ТРОЯНе Win32:StartPage-187 [Trj]??

Похоже это одна из модификаций трояна Trojan.Win32.StartPage !

CODE

Trojan.Win32.StartPage.amd Rootkit:  Да Видимые проявления:  Подмена стартовой страницы Невозможность восстановления стартовой страницы IE AVZ детектирует перехват функции ZwSetValueKey драйвером paraudio.sys   Классический Trojan.Win32.Startpage, дополненный руткитом для блокировки восстановления настроек браузера в реестре. Исполняемый файл имеет размер 14336 байта, не сжат и не зашифрован. В случае запуска скрытно выполняет следующие действия: 1. Производит подмену стартовой страницы путем правки соответствующего ключа в реестре (устанавливает ссылку на некую страницу на китйском языке). 2. Создает на диске файл WINDOWS\system32\drivers\paraudio.sys и регистрирует его в реестре (ключ paraudio, симв. имя драйвера - \\.\RegGuard) 3. Загружает драйвер paraudio.sys Драйвер paraudio.sys является руткит-компонентой (размер 7744 байта, драйвер хранится в теле трояна), его задача - блокировать восстановление ключа реестра с настройками браузера. Для решения этой задачи драйвер перехватывает функцию ZwSetValueKey Детектирование вручную: 1. Подмена стартовой страницы и невозможность ее изменения 2. Появление постороннего перехвата, запись в протоколе AVZ имеет вид: Функция ZwSetValueKey (F7) перехвачена (80575527->FCA4508A), перехватчик C:\WINDOWS\system32\drivers\paraudio.sys 3. В исследовании системы обнаруживается посторонний драйвер (в разделе "модули пространства ядра") Удаление вручную: 1. Удалить драйвер drivers\paraudio.sys 2. Перезагрузиться и убедиться в том, что перехват фунции пропал

Так же смотреть [Для просмотра ссылки зарегистрируйтесь].

Duke

QUOTE

Удаление вручную:1. Удалить драйвер drivers\paraudio.sys

А как его найти? Через ПОИСК? Или как-то по-другому?
Впринципе Аваст мне выдал вирус.Я его удалила... Есть вероятность того, что ЧТО-ТО осталось на компьютере?

QUOTE

WINDOWS\system32\drivers\paraudio.sys

если удалял аваст, то да =))

Ell

QUOTE

если удалял аваст, то да =))

Что - да? Осталось что-то??
И что теперь делать? Искать этот драйвер?

Sandra Nasic
Возьми да поищи хуже не будет

Duke

QUOTE

Возьми да поищихуже не будет

Я искала через ПОИСК, но не нашла... И что теперь?
Добавлено:
Duke

QUOTE

Функция ZwSetValueKey (F7) перехвачена (80575527->FCA4508A), перехватчик C:\WINDOWS\system32\drivers\paraudio.sys

Прошлась к нему, а его там нет... По кранйей мере, paraudio.sys там я не нашла.

QUOTE

Удаление вручную:1. Удалить драйвер drivers\paraudio.sys

Получается, что и нечего удалять?

Sandra Nasic
если avz его определяет, значит от там есть.
ему ничего не мешает быть скрытым сусликом.
или ты просто его не нашла. кстати поиском можешь не пользоваться. он имеет свойство не индексироваться

Ell

QUOTE

кстати поиском можешь не пользоваться. он имеет свойство не индексироваться

Это я уже поняла....

QUOTE

если avz его определяет, значит от там есть.

Сейчас ещё раз проверю...

Вот что он мне написал (красным шрифтом):

C:\Documents and Settings\Екатерина\Мои документы\Мои видеозаписи\Программы\gwave520.exe Invalid file - not a PKZip file
Прямое чтение C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db

И ещё что-то...

Ell
Ты не смогла бы выйти в асю...?

Помогите кто-нибудь...

Он мне многое пишет, например, вот это:

>>> E:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

И многое другое... Что у меня подозрение на ТРОЯН...

Троян Gozi обводит антивирусы вокруг пальца Аналитики из компании SecureWorks сообщают о распространении нового варианта трояна Gozi, корни которого ведут в Россию. Новый вариант червя снабжен функцией записи нажатий клавиш и может шифровать блоки собственного кода. Благодаря этому усложняется его обнаружение антивирусными приложениями. [itua.info]

Sandra Nasic

QUOTE

C:\Documents and Settings\Екатерина\Мои документы\Мои видеозаписи\Программы\gwave520.exe Invalid file - not a PKZip file Прямое чтение C:\Program Files\Alwil Software\Avast4\DATA\Avast4.db

тут всё нормально !
если будет вирь, то тебе так и скажут

QUOTE

>>> E:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)

кинь сюда, что внутри файла ! поглядим.
!ananistik

QUOTE

и может шифровать блоки собственного кода.

полиморфность называется ! Убойная весч !!!

Duke

QUOTE

кинь сюда, что внутри файла ! поглядим.

Что ИМЕННО скинуть?

Sandra Nasic

QUOTE

Что ИМЕННО скинуть?

Как я понял , собственно само это :

QUOTE

E:\autorun.inf

ananistik

QUOTE

Как я понял , собственно само это :QUOTEE:\autorun.inf

А КАК я это сюда выложу... Через ХОСТИНГ, что ли, какой-то? Или как?

Любой файловый хостинг ....... Или киньте мне на почту , адрес в ПМ воткну

ananistik

QUOTE

Любой файловый хостинг ....... Или киньте мне на почту , адрес в ПМ воткну

Готово.

Хм , это 100 % не inf файл ........ так как антивирь находит в нем вложение , а в текстовом редакторе он пуст
Добавлено:
Если получится , скиньте мне на мыло эту штуковину

QUOTE

C:\WINDOWS\system32\drivers\paraudio.sys

Добавлено:

QUOTE

autorun.inf

Смело можно удалять ...... Файл пуст !!! Лучше минуя корзину ( Клавиши Shift+Delete )

Сегодня на работе словила червичка Викинга, умерло почти все...как попал - не понятно

Sandra Nasic

QUOTE

А КАК я это сюда выложу...

достаточно было выложить содержание файла
ananistik

QUOTE

Смело можно удалять ...... Файл пуст !!!

совсем пуст ? или всё же что то есть ?
Soltera

QUOTE

Сегодня на работе словила червичка Викинга, умерло почти все...

сочувствую

QUOTE

как попал - не понятно

а как нормальное(английское) название червя ?

Duke , Совсем пуст.

QUOTE

Paзмeщeниe:      C:\i Paзмep:              151 бaйт (151 бaйт) Ha диcкe:          4,00 КБ (4 096 бaйт)

При открытии в блокноте - чистота чисто тайд . Каспер в нем ничего не нашел..... virustotal тоже не ругнулся
Добавлено:
Зы, новая эпидемия рассылки ссылок на вири по ICQ
На английском языке некая лена предлагает посмотреть ее фоты , часто просит авторизацию с той же ссылкой......
В отличии от предыдущих случаев - домен второго уровня , и ссылка на php файл , а не на директорию

QUOTE

При открытии в блокноте - чистота чисто тайд

это не показатель, начнём с этого
некоторые файлы могут быть подобно зеркалу, которые сами в своём теле не содержат кода
либо другой вариант: код антивирь всё же удалил, забыв при этом удалить сам файл

Хм... Ну так что же делать тогда? Ничего?

QUOTE

а как нормальное(английское) название червя

Viking так и есть, вернее было...

И еще,не скажите, что за вирусы Win32:Goldun-IL [Trj]
Win32:Tiny-GZ , в плане действия и тп ...

Ell

QUOTE

некоторые файлы могут быть подобно зеркалу, которые сами в своём теле не содержат кода

тогда это не файл, а ярлык, что нетрудно заметить. inf файл просмотреть не проблема....

QUOTE

либо другой вариант: код антивирь всё же удалил, забыв при этом удалить сам файл

какой код он удалил ?
или имеешь ввиду из автозагрузки выписался ?
тогда после перезагрузки файл не будет сидеть в памяти...соответственно удалить его не составит труда.

Duke

QUOTE

тогда это не файл, а ярлык, что нетрудно заметить. inf файл просмотреть не проблема....

аваст ещё не настолько умный

QUOTE

или имеешь ввиду из автозагрузки выписался ?

тело вируса обрубил, но оставил оболочку
так иногда бывает

Ell

QUOTE

аваст ещё не настолько умный

я предлогал вручную смотреть файл а не антивирусами.

QUOTE

тело вируса обрубил, но оставил оболочку

хм. а что за термин "оболочка" ?

Эх... Сейчас вот антивирь нашел червячка Win32:Trojan-gen. {UPX!}....
Зашибись! Кстати, какие у него (виря) действия?

Вот, кстати. Червяк этот расползается, поэтому в хранилище у меня уже их 2. А из ХРАНИЛИЩА их никак не удалить, что ли?
Если я нажму УДАЛИТЬ, нажав правой кн. мыши по этому вирю, сам вирь удалится при этом или нет?

убить если есть в диспетчере.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices
WINDLL.DLL
удалить
потом из карантина можно удалять.
действия у него управление компом удалённое и перехват команд с клавиатуры.

Ell

QUOTE

убить если есть в диспетчере. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices WINDLL.DLL удалить потом из карантина можно удалять. действия у него управление компом удалённое и перехват команд с клавиатуры.

Хех... К сожалению, я их удалила ДО написания ЭТОГО поста...
Не дождалась, т.к. надо было уже действовать... Проверила ещё раз Авастом - вирей нет...Или их нет, потому что это АВАСТ?

Sandra Nasic
в реестре удали что я написала если осталось.
и в системном каталоге dll эту. не факт что антивирус выгреб всё.

QUOTE

Или их нет, потому что это АВАСТ?

всё возможно

Ell
Тебе не составит труда выйти в асю?

QUOTE

Обязательно читать перед обращением за помощью в лечении

Я прошу прощения! Я по всей видимости нарушаю правила, но мне нужно срочно узнать, что за вирус попал в комп! Может кто-нить сразу подскажет?

Я расскажу, что происходит с компом.
В каждой папке сама собой появляется ещё одна папка с таким же именем (весит 108 кб) - но это не папка. Т.к. она открывается в новом окне и является как бы ссылкой совсем в другое место.

Многие программы не запускаются.

При запуске Касперского файл kav.exe самоудалился!

Постоянно вылазеют ошибки реестра, эксплорера и т.д.

Windows не переустанавливается. Обрывается на пол-пути.

Помогите пожалуйста! Что делать? Что за вирус?
Как избавиться, если DrWeb не включается, а Касперский удаляется??

это Trojan.VBS.Autorun в autorunRE.exe судя по всему. папочки newfolder.exe есть?
Ещё подозрение на варезов.
Точную модификацию не знаю, точнее, не помню.

QUOTE

При запуске Касперского файл kav.exe самоудалился!

полная версия какая?
попробуй из безопасного запустить.
Но для начала авз. ссыль в первом посте.
С логами дело быстрее бы пошло конечно...

Кстати если есть возможность, скопируй эти "папки", положи в архив с паролем virus и аську что ли у кого-нибудь возьми мою... У Тихой например.

Ell

QUOTE

папочки newfolder.exe есть?

в самом компе не видел, но вот на флэшке (которая вставлялась в заражённый комп) нашёл папку "Новая папка.exe"

QUOTE

полная версия какая?

честно говоря не в курсе.. т.к. это не мой комп.. Запускал всё подряд.. Ничего толком не работало..

QUOTE

попробуй из безопасного запустить. Но для начала авз. ссыль в первом посте.

ок! просто этот комп далеко от меня (на другом конце города), и мне желательно с первого раза его починить.. т.к. нет возможности ездить взад-вперёд..

У меня есть Касперский kav5.0.227_personalru, но он уже год не обновлялся.. вот не знаю, что делать.. Если всё-таки я скачаю обновления, мне это поможет?

QUOTE

и аську что ли у кого-нибудь возьми мою...

спасибки, но на том компе нет инета..

QUOTE

это Trojan.VBS.Autorun

хорошо, спасибо!! я поищу о нём инфу.. может что получится..

QUOTE

нашёл папку "Новая папка.exe"

угу. оно

QUOTE

У меня есть Касперский kav5.0.227_personalru

что за древность... 7 kis скачай.

QUOTE

Если всё-таки я скачаю обновления, мне это поможет?

вряд ли. поддержка этой версии официально прекращена.

QUOTE

я поищу о нём инфу..

я модификацию не знаю...

Ell

QUOTE

что за древность... 7 kis скачай

а я, если честно, вообще антивирусами не пользуюсь. Предпочитаю Файервол)) с ним у меня проблем меньше))

QUOTE

поддержка этой версии официально прекращена

аа, понятно.. жаль)

QUOTE

я модификацию не знаю...

вобщем я попробую кое-что сделать.. удалить из реестра.. и все эти папки.exe.
Потом сообщу о результатах))
И avz использую..

QUOTE

Предпочитаю Файервол))

я надеюсь ты осознаешь, что это разные вещи?

QUOTE

аа, понятно.. жаль)

наоборот хорошо. быстрее переползут на новые версии.

QUOTE

вобщем я попробую кое-что сделать.. удалить из реестра.. и все эти папки.exe.

попробуй..хотя не зная точного названия это сложно будет сделать..
есть вероятность появления их снова.

Ell
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Протокол антивирусной утилиты AVZ версии 4.14
Загружена база: 20005 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.02.2006 16:54
Загружены микропрограммы эвристики: 357
Загружены цифровые подписи системных файлов: 47597
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:LoadLibraryA (559) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FC4<>77E805D8
Функция kernel32.dll:LoadLibraryExA (560) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FD3<>77E805B8
Функция kernel32.dll:LoadLibraryExW (561) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FF1<>77E8049B
Функция kernel32.dll:LoadLibraryW (562) перехвачена, метод ProcAddressHijack.GetProcAddress ->77ED5FE2<>77E7296F
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=074C00)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D4000
SDT = 80548C00
KiST = 81A35510 (297)
>>> Внимание, таблица KiST перемещена ! (80500624(284)->81A35510(297))
Функция ZwClose (19) перехвачена (805765C1->F408E2E0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcess (2F) перехвачена (8059E61D->F408E000), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateProcessEx (30) перехвачена (80584346->F408E170), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateSection (32) перехвачена (805751D5->F408E420), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwCreateThread (35) перехвачена (80583298->F408EBAE), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwOpenProcess (7A) перехвачена (8056AE3A->F408DE00), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQueryInformationFile (97) перехвачена (8057A210->F408E8EE), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwQuerySystemInformation (AD) перехвачена (8057E7BA->F408EA2E), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwResumeThread (CE) перехвачена (80583394->F408EB8E), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwSetInformationProcess (E4) перехвачена (8058345A->F4090950), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Функция ZwTerminateProcess (101) перехвачена (805706DC->F408E7A0), перехватчик C:\WINDOWS\System32\drivers\klif.sys
Проверено функций: 284, перехвачено: 11, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 15
Количество загруженных модулей: 243
Проверка памяти завершена
3. Сканирование дисков
C:\Program Files\MyWebSearch\bar\4.bin\F3HISTSW.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch успешно удален
C:\Program Files\MyWebSearch\bar\4.bin\F3RESTUB.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch успешно удален
C:\Program Files\MyWebSearch\bar\4.bin\F3WPHOOK.DLL >>>>> AdvWare.Win32.MyWebSearch успешно удален
C:\Program Files\MyWebSearch\bar\4.bin\M3OUTLCN.DLL >>>>> AdvWare.ToolBar.MyWebSearch успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024212.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024213.DLL >>>>> AdWare.Win32.ToolBar.MyWebSearch успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024214.DLL >>>>> AdvWare.Win32.MyWebSearch успешно удален
C:\System Volume Information\_restore{7F08CD07-C9AF-4D55-A627-086ACE4CBFD4}\RP67\A0024215.DLL >>>>> AdvWare.ToolBar.MyWebSearch успешно удален
C:\WINDOWS\system32\f3PSSavr.scr >>>>> AdvWare.Win32.MyWebSearch успешно удален
D:\утилиты\Утилиты 2005 (1)\Media\GoldWave\gwave508.exe Invalid file - not a PKZip file
Автоматическая чистка следов удаленных в ходе лечения программ
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\WINDOWS\System32\wmdrtc32.dll --> Подозрение на Keylogger или троянскую DLL
C:\WINDOWS\System32\wmdrtc32.dll>>> Нейросеть: файл с вероятностью 99.69% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 5 TCP портов и 6 UDP портов
>>> Обратите внимание: Порт 5000 TCP - Cервис UPNP, Bubbel, Back Door Setup, Sockets de Troie, Socket 23 (c:\windows\system32\svchost.exe - опознан как безопасный процесс)
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ и справке)
7. Эвристичеcкая проверка системы
>>> C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL ЭПС: подозрение на Spy.MyWay, AdvWare.GoWebSite (высокая степень вероятности)
>>> C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL ЭПС: подозрение на Spy.MyWebSearch
>>> C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL ЭПС: подозрение на Spy.MyWebSearch
Проверка завершена
Просканировано файлов: 139344, извлечено из архивов: 115739, найдено вредоносных программ 9
Сканирование длилось 00:20:35

Ещё DrWeb тоже обнаружил вирус Win32.Sector

kinder
я так и знала. на машине ещё Email-Worm.Win32.Warezov.et
[Для просмотра ссылки зарегистрируйтесь] - это как его пролечить + в avz выполнить следующий скрипт:

QUOTE

begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('E:\WINDOWS\system32\wmdrtc32.dll',''); DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\4.bin\MWSSRCAS.DLL'); DeleteFile('C:\Program Files\MyWebSearch\bar\4.bin\MWSBAR.DLL'); ExecuteSysClean; RebootWindows(false); end.

+ после удаления варезова должны запускаться антивирусные по. ставьте каспера 7 и утилиту др веба и гоняйте комп снова.

Ell
спасибки!!
Только похоже у меня старая версия avz. Там нет вкладки "Выполнить скрипт "..

QUOTE

ставьте каспера 7

у меня просто черепаший интернет. мне пол-дня нужно скачивать несчастные несколько мегабайт.. мой старый каспер весит 10 МБ. а новый наверное ещё больше. , базы.. вобщем, многовато..

QUOTE

утилиту др веба

у меня DrWeb CureIt. за 2007 г. попробую с помощью него почистить.

Результаты сообщу завтра!

Ell

QUOTE

Ну что там с вирусом?

на удивление всё прошло легко и без проблем!

Почему-то в Авторане вирус не был прописан.. Я его тупо удалял через ДрВеб обновлённый)) А Касперский 5, ты права, можно на свалку - ничего не находил и не работал..

Вобщем, я все папки.exe удалил. Сделал полную проверку антивирусом. Переустановил Винду. Теперь вроде у них всё работает! Проявлений признаков вируса больше нет..

Прошу обратить внимание на некоторые изменения данной темы. Инструкция была дополнена, тема разделена на две. Подробнее в первом посте. После этого поста никаких скидок на "привычку"

Ell

Привет!

Подскажи пожалуйста что значит эта строка:

Функция kernel32.dll:LoadLibraryA (754) перехвачена, метод APICodeHijack.JmpTo[10005AE6]

А так AVZ пишит что все в норме.....

GetSystemInfo половину железа не смог ваще определить...
может потому что у меня ноутбук?

QUOTE

Функция kernel32.dll:LoadLibraryA (754) перехвачена, метод APICodeHijack.JmpTo[10005AE6]

это в норме. это обращение ядра к инструкции

QUOTE

А так AVZ пишит что все в норме.....

авз не обязательно должен писать что в норме, а что нет. главное в этой утилите-это лог, который она делает, а не её выводы что нормально, а что нет.

QUOTE

GetSystemInfo половину железа не смог ваще определить... может потому что у меня ноутбук?

возможно. бывают такие проблемы с нестандартным железом. кто производитель железа? фирма ноутбука?

Ell

QUOTE

кто производитель железа? фирма ноутбука?

samsung, R60 plus

ну понятно...
тогда остальные логи нужны

Ell
Посмотри пожалуйста, всё ли в норме? У меня подозрение на вирус, но я не уверен..

Сканирование запущено в 16.02.2008 12:24:22
Загружена база: 20005 сигнатур, 2 нейропрофиля, 55 микропрограмм лечения, база от 03.02.2006 16:54
Загружены микропрограммы эвристики: 357
Загружены цифровые подписи системных файлов: 47597
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=082B80)
Ядро ntoskrnl.exe обнаружено в памяти по адресу 804D7000
SDT = 80559B80
KiST = 804E2D20 (284)
Функция ZwClose (19) перехвачена (805675D9->FC482818), перехватчик UP55bus.sys
Функция ZwCreateKey (29) перехвачена (8056F063->FC4827D0), перехватчик UP55bus.sys
Функция ZwCreatePagingFile (2D) перехвачена (805BD9D8->FC476A20), перехватчик UP55bus.sys
Функция ZwEnumerateKey (47) перехвачена (8056F76A->FC4772A8), перехватчик UP55bus.sys
Функция ZwEnumerateValueKey (49) перехвачена (805801FE->FC482910), перехватчик UP55bus.sys
Функция ZwOpenKey (77) перехвачена (805684D5->FC482794), перехватчик UP55bus.sys
Функция ZwQueryKey (A0) перехвачена (8056F473->FC4772C8), перехватчик UP55bus.sys
Функция ZwQueryValueKey (B1) перехвачена (8056B9A8->FC482866), перехватчик UP55bus.sys
Функция ZwSetSystemPowerState (F1) перехвачена (8066608F->FC4820B0), перехватчик UP55bus.sys
Функция ZwTerminateProcess (101) перехвачена (8058AE1E->FAAA7320), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Функция ZwWriteVirtualMemory (115) перехвачена (8057C123->FAAA7280), перехватчик C:\Program Files\Agnitum\Outpost Firewall\kernel\FILTNT.SYS
Проверено функций: 284, перехвачено: 11, восстановлено: 0
2. Проверка памяти
Количество найденных процессов: 26
Количество загруженных модулей: 295
Проверка памяти завершена
3. Сканирование дисков
C:\ДЛЯ РАБОТЫ\материалы центра образования\Учебные материалы МЦИО\Образовательные ресурсы Интернет\design_from_kursk\www-win.design.krsk.ru\3D\Flower.zip Invalid file - not a PKZip file
C:\ДЛЯ РАБОТЫ\материалы центра образования\Works\TolkachYUM\bilets\b21.zip Stream read error
C:\ДЛЯ РАБОТЫ\материалы центра образования\Works\TolkachYUM\bilets\b22.zip Stream read error
C:\ДЛЯ РАБОТЫ\материалы центра образования\Works\TolkachYUM\bilets\b23.zip Stream read error
C:\ДЛЯ РАБОТЫ\материалы центра образования\Works\TolkachYUM\bilets\b26.zip Stream read error
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 319 описаний портов
На данном ПК открыто 6 TCP портов и 11 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 69199, извлечено из архивов: 45940, найдено вредоносных программ 0
Сканирование завершено в 16.02.2008 12:48:45
Сканирование длилось 00:24:23

ну по одному логу сложно составить картину.В этом логе ничего нет.

Ell

QUOTE

В этом логе ничего нет

слава Богу! надеюсь, это не вирус, а может просто Винда тормозит..
спасибки!

kinder
но для полного исследования как всегда нужны все логи
это я на будущее.

QUOTE

А, может, ты знаешь, где ключ (бесплатно, конечно) можно найти для Касперского?

Sandra Nasic
в сети хорошо поищи))) я вон нашел на 100 с лишним дней и хоть бы хны работает до сих пор, осталось правда 20 дней, но на готове еще лежат)))

Выкладываю логи.
[Для просмотра ссылки зарегистрируйтесь]

Не уверен, что в них есть то, что требовалось от утилит как объект обнаружения.
А именно Win32/Kryptik. (как его улавливают антивирусы) файл-заражение, проявляющийся в том, что в любую флэшку, вставленную в ноутбук, откуда-то копируется папка pupica с вложенным в неё фалом makaroni.exe (либо такая же фигня, только stojan/kristal.exe), она скрытая. При этом еще и создается файл autorun.inf, видимый на всех компьютерах, но удаляемый только на редких из них. При этом блокируется возможность форматировать flash-устройство. Помещение в карантин ничем естественно не помогает, потому что антивирусу приходится это делать каждый раз при помещении флэшки в гнездо.
Лечение этой напасти нашел только на каком-то немецком сайте, но ничего не понял, так как немецкий не знаю, а перевод кривой получается...