С Вашего разрешения пока изложу признаки - таким образом.
При подключении vpn и появлении Интернет, в папке временных файлов пользователя вдруг появляется 2 непонятных файла, которых раньше не было. Заметила это не совсем случайно.

Картинка временной папки:

http://ipicture.ru/uploads/080126/2159/thumbs/5tG5wCUZzp.jpg (http://ipicture.ru/Gallery/Viewfull/403995.html)

Ехе-шник просился в Интернет, я его заблокировала файеволлом.
Также она держится весь сеанс (до выключения компа) в процессах (если его конечно не убить - тогда убивается и до следующей перезагрузки молчит).

Если не убить, то в момент выключения компа не даёт ему нормально самостоятельно завершить работу, так что появляется такое знакомое окошко:

http://ipicture.ru/uploads/080126/2159/thumbs/5RRdL3uuce.jpg (http://ipicture.ru/Gallery/Viewfull/404010.html)

Дело в том, что накануне вечером вылетела сеть (пропали оба компьютерчика в трее и ОЧИСТИЛАСЬ (!) папка Сетевых подключений (стала пустой, а было там 4 соединения - лок. сеть, vpn, модемное мобильника и модемное просто).

McAfee в это время отметил какую-то NETBIOS SESSION ко мне от другого компа из локальной сети. Не знаю, связаны ли эти события.

И стали НЕ запускаться проги, которые были активны вечером (Opera - теперь каждый день приходится переустанавливать), FreshUI (ей переустановки не помогают, сначала правда она запускается, а через пару часов иконка ярлыка и экзешника превращается в белый квадратик), QIP тоже - каждое утро надо переустанавливать поверх и потом работает только до следуюшей перезагрузки.
Вот только 2 примера:

http://ipicture.ru/uploads/080127/1dARCqy7HU.jpg

http://ipicture.ru/uploads/080127/thumbs/WEl8b6f8fW.jpg (http://ipicture.ru/Gallery/Viewfull/409980.html)

Проверила эти файлы (Intenet.exe) и (Intenet.bat) в папке ...\Local Settings\Temp

1. На установленном McAfee (свежие сегодняшние базы) - не ругается.
2. Онлайн Каспера тут - http://www.kaspersky.ru/scanforvirus тоже нормально оба файла.
Например окошко результатов проверки первого (который ехе).

http://ipicture.ru/uploads/080126/2159/thumbs/d8T7SMX1Mw.jpg (http://ipicture.ru/Gallery/Viewfull/404040.html)
Так же нормально и со вторым.

Плюс прогнала комп диск С: докторвэбовской CureIt (вчера же скачанной, правда стоявшей на рабочем столе, не на CD).


Этих файлов в автозагрузке - нет, в system32 - нет, я внимательно проверила. Они появляются только при включении vpn и регистрации компа в сети.

Почему смотрела в этих местах (автозагрузка, system32) - потому что поиск Google даёт много ссылок на вирус intenet.exe (c конца 2006 года, причём в основном на корейско-японо-китайских наречиях), но похоже что это не то... не те проявления.

Мне кажется какая-то прога, увидев поключение к Интернет, запускает эти 2 файла.
Как её вычислить?
Вот скриншоты Process Explorer для процесса Intenet.exe
Это верхнее поле

http://ipicture.ru/uploads/080126/2159/thumbs/OGRsTCumUR.jpg (http://ipicture.ru/Gallery/Viewfull/404058.html)

Следуя советам ещё:
1. Проверила оба файла на сайте Virus Total (http://www.virustotal.com/ru/)
Результат по intenet.exe (3 обнаружения из 32-х антивирусов)

http://ipicture.ru/uploads/080127/thumbs/dgJSTzUm1U.jpg (http://ipicture.ru/Gallery/Viewfull/409249.html)

2. Результат по intenet.bat - всё чисто по всем 32 антивирусам

С процессами ясности поменьше.

Скачала прогу http://ipicture.ru/uploads/080127/thumbs/1tRPbm3Ycc.jpg (http://ipicture.ru/Gallery/Viewfull/409736.html)

Нижняя картинка взята из её "Детальной информации" о процессе "intenet.exe" - в закладке "Файлы":
http://ipicture.ru/uploads/080127/thumbs/y6MURcd9w5.jpg (http://ipicture.ru/Gallery/Viewfull/409707.html)

Пыталась создать вопрос наглядно.

Идти сюда http://virusinfo.info/showthread.php?t=1235
пока не решилась, уж слишком на первый взгляд сложно.
Пока, как промежуточный шаг, создала эту темку с изложением проблемы.
Жду ответа, а то что-то как-то боязно ... :(
Непонятно что это за зверьки...

Иринка, без логов мы безсильны:) пройдитесь по пунктам и выполните....
Думаю, правила не сложнее, выполненной вами работы....

Иринка, без логов мы безсильны:) пройдитесь по пунктам и выполните....
Думаю, правила не сложнее, выполненной вами работы....
Ужжжаасс, так и знала, что скажете :( :( :(
Просто делать скрины и заходить на сайты я УМЕЮ, а то, что описано в Правилах - нет! :(
Если другого пути нет, то начну собираться с силами и потихоньку идти на приступ...
А вообще похоже на вирус? Внешне? А?

Добавлено через 56 минут

Собралась с силами, совладала со своим страхом и начала делать по Правилам.
И вот.
Там в п.7 написано: "Отключите восстановление системы (Windows Me/XP)"
А ниже в пункте Приложение 1. "Как отключить восстановление системы" для XP написано:
"Появится сообщение, пpедупpеждающее об удалении всех точек восстановления. Подтвеpдить, нажав "ОК"."
Зашла в отключение, а там окошко

http://ipicture.ru/uploads/080127/2159/S94YcSiBUu.jpg

Из окошка Винды ясно, что точки восстановления отключатся?
Или всё же удалятся?!
Дело в том, что я увидела у себя точку контрольную для всей системы за 17 января. Эта дата ДО начала неприятностей.
Я бы не хотела её потерять, а вдруг понадобится?
Как поступить? ;)

Удаляйте, не бойтесь!

Удаляйте, не бойтесь!
Как же не бояться?
А вдруг дело не в вирусах? Тем более почти все антивирусники про intenet.exe - не тревожатся...
А я упущу возможность откатиться...
Минут через 15-20 попробую всё-таки откат ... первый раз в жизнииии >:(
А потом сообщу, если останусь жива... :)

Дело хозяйское, конечно. Но либо вы делаете так, как вам советуют, либо вы лечитесь самостоятельно, уж извините 8).

Я не могу сама... Иначе бы всё, что выше, не написала и не сделала. И посоветовать некому...
Приступаю к Правилам...

Прилагаю 3 файла.
Нехорошая красная первая строчка про размер файла .ехе AVZ ...
"Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных"

Пока жду, перечитала много постов по ключевому слову "файловый вирус" и нашла вот это сообщение (одно из многих) от поругавшего меня Братца :) (Bratez):
*************************************
"Действительно, похоже на файловый вирус.
Найдите возможность воспользоваться другим компьютером для выхода в интернет, скачайте свежий CureIt, запишите его на CD и на своем компьютере запустите прямо с CD. Сделайте обязательно полную проверку компьютера, вначале в безопасном режиме, потом в обычном.
P.S. Возможно, после этого некоторые программы придется установить заново, если их файлы после лечения окажутся неработоспособными."
*************************************
Завтра в понедельник пойду куда-то искать где скачать и записать CureIt, а пока тихонько жду, а то снова поругают ...:>

Браво! Вы делаете успехи ;) Выводы абсолютно правильные.

Маленькое уточнение: CureIt на самом деле является архивом и перед записью на CD его следует распаковать. В полученной папке запускаемым является _start.exe. Если записать нераспакованным, то он будет распаковываться при запуске уже на вашем ПК, и вирус может поразить его в этот момент.
Полезный совет:
перед проверкой очистите временные файлы IE (через Свойства обозревателя), а также папки
C:\Windows\Temp
C:\Documents and Settings\Brass\Local Settings\Temp
(этим вы сэкономите себе время).

Не забудьте, что AVZ и HijackThis вам придется скачать заново.

После проверки CureIt'ом пофиксите в HijackThis:


R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O2 - BHO: RGWIE Class - {D4D5806E-EA2C-45b2-972D-8BE237697B87} - RGWIE.dll (file missing)
O4 - S-1-5-18 Startup: ICQ Password Recovery.lnk = ? (User 'SYSTEM')
O4 - .DEFAULT Startup: ICQ Password Recovery.lnk = ? (User 'Default user')
O4 - Startup: ICQ Password Recovery.lnk = ?
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -

и сделайте снова логи по правилам.

Понятно, спасибо :)
А не следует ли мне качать сразу и сразу записать на CD (потому что это на другом конце города 2-х милионника):
-CureIt,
-AVZ и
-HijackThis.
Или после работы CureIt мне (ожидается) ничего уже не грозит? И я смогу безопасно скачать AVZ и HijackThis?

Конечно лучше скачать и записать все сразу.
Только AVZ и HijackThis перед использованием скопируйте на жесткий,
иначе логи не создадутся.

ОК, уже договрилась с подружкой о встрече на после обеда, поеду к ней за диском... если конечно справится :)
Вот как я ей описала, что мне нужно (цитирую для смеху):



А я борюсь с вирусами, которыми меня атаковали по локалке три дня назад, еле живу.
Нужен CD, на который следует записать 3 проги.
Их надо предварительно скачать с адресов:
http://z-oleg.com/avz4.zip (http://z-oleg.com/avz4.zip)
(около 5 Мб)
http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip (http://www.trendsecure.com/portal/en-US/threat_analytics/HiJackThis.zip)
(0,3 Мб)
ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe (ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe)
(около 8,5 Мб)
Обязательно (!) качать из Инета, потому что в этой ситуации критичны версии программ, которые меняются еженедельно и чаще.
ВАЖНО!
Последнюю прогу, cureit.exe - перед записью НУЖНО обычным путём разархивировать, хотя она вроде внешне и выглядит как исполняемый файл (.ехе). Извлечь из неё папку, внутри которой будет (среди прочих) уже реально исполняемый файл _start.exe.
То есть на диск надо записать в результате:
- всю папку (cureit) со своими файлами,
- архив avz4.zip,
- архив HiJackThis.zip.
Можно писать конечно в принципе на любой CD, но желательно на ЧИСТЫЙ (новый), так как если ВДРУГ у тебя на компе тоже вирусы, они могут "побить" антивирусные проги до их запуска, а внешне это никак не проявится.
Я ведь именно поэтому не могу скачать и записать их у себя, хотя сеть пока работает.
Тебе всё понятно?!

ДокладАю о выполненной работе :)
Хотя пока всё-равно что-то ... ой-ой-ой с компом, то есть ничего не поменялось...
Периодически, при непонятных обстоятельствах, продолжает ПОЛНОСТЬЮ пропадать всё содержимое папки "Сетевые подключения". После перезагрузки возвращается. Причём смотрю, что и службы все в этот момент остановлены, даже Диспетчер устройств не открывается - пусто.
Так и должно быть?
Итак:
1. Нынешний скан CureIt был выполнен с CD из записанной туда папки, не архива, т.е. как учили :)
Каких-то существенных записей, среди выявленных CureIt-ом опасносей, я не заметила.
Только какой-то незнакомый файл в кэше Opera со специфическим названием, как у всех файлов в той папке - "oprOP9JX.js", но он удалён. Да ещё .chm файл, удалён.
Остальное - это были патчи, кряки, BitAccelerator (от Letitbit, но Вы наверняка знаете) да одна старая-старая программа-шутка, которая у меня очень давно.
2. Простите, но после завершения всех процессов, долго не отвечала по банальной причине - отсутствия до ЭТОГО момента связи, "благодаря" провайдеру.
3. Пофиксила Hijack-ом указанные строчки (заметила, что во втором логе HiJack, который сейчас отсылаю, этих строчек уже нет, и это приятно).
Строчки про ICQ Password Recovery я убрала из всех 3-х мест, как указали, хотя эту прогу я специально запускала и добавляла в автозапуск. Ну да бог с ней, не сильно и нужна была...
4. Насторожила опасная, не ушедшая, а оставшаяся в логах запись
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
хотя я сканировала новыми файлами AVZ и HijackThis, которые мне дополнительно записали (как Вы и советовали) на CD одновременно со свежей CureIt. Не знаю...

avz.exe - пришлите согласно приложения 3 правил ...

Прочитала "Приложение 3. Как прислать запрошенные файлы."
Там написано:
1. Запустите AVZ, выберите из меню "Файл" - >"Просмотр карантина".
2. Справа в списке файлов отметьте те файлы которые нужно выслать.
3. Нажмите на кнопку "Архивировать" и укажите место на диске где будет сохранён архив.

Запустила, зашла в Просмотр Карантина, но там из 3-х файлов такого файла нет (вот скрин):

http://ipicture.ru/uploads/080130/thumbs/z5rbZ5czyV.jpg (http://ipicture.ru/Gallery/Viewfull/432450.html)

Тогда просто взяла и сама ручками заархивировала avz.exe и прилагаю, правильно? Или как?
Поправьте, если не так, пожалуйста :(
P.S. Не принял форум у меня этот архив на отправку - размер большой, что делать?

http://ipicture.ru/uploads/080130/aTfjogwCZJ.jpg (http://ipicture.ru/)

Может на почту Вам послать? Куда, скажите?

P.P.S. Попробовала удалить самые первые вложения, чтоб очистить место дл архива avz.exe, но и это форум не даёт сделать - замкнутый круг, одни препятствия :(

http://ipicture.ru/uploads/080130/2159/eg6RRYtfgJ.jpg (http://ipicture.ru/)

И через "Нужно запустить программу AVZ, зайти в меню "Сервис" и выбрать пункт "Поиск файла на диске" - тоже сам себя, т.е. свой экзешник в своей папке НЕ находит:

http://ipicture.ru/uploads/080130/2159/thumbs/yBo3pR7kaV.jpg (http://ipicture.ru/Gallery/Viewfull/432571.html)

4. Загрузите полученный архив используя ссылку на станичку загрузки (Прислать запрошенные файлы) в шапке Вашей темы (тогда поле "Ссылка на тему" заполнится автоматически) или по адресу http://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).

Сделала!
"Результат загрузки
Файл сохранён как 080130_061031_avz_47a06937d09ee.zip
Размер файла 705102
MD5 f83f71f2936c533df1333043c85a14a9
Файл закачан, спасибо!"
Сделала архивом ZIP и с паролем virus

avz.exe - Virus.Win32.Agent.f
скачайте http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool сделайте полную проверку ... повторите логи ...

Вопросы:
- McAfee своего на период проверки отключать?
- Запуск AVP Tool - просто с жёсткого диска?

1 McAfee отключить
2 просто с жесткого диска .... ( результаты проверки обязательно сообщите) ...

Вчера 30 -го прошлась один раз весь комп - это заняло несколько часов, до 1 ночи.
Сегодня с утра качаю ещё разок, новую утилиту AVP Tool и пройдусь ещё. Потому что много всяких других вирусов эта прога определяла, с которыми ночью было сложно правильно разбираться.
Но то, что главная причина была в вирусе Virus.Win32.Agent.f, как определено вашими специалистами - это БЕЗУСЛОВНО!
Работа компа наладилась!
Найдено до 1000 ехе-шников заражённых этим зловредом!
Когда закончится повторное сканирование, я сделаю логи, но это будет наверно только завтра или поздно сегодня.
В любом случае - уже ОГРОМНОЕ СПАСИБО!

P.S.
Хотела для чистоты эксперимента перед установкой свежескачачанной AVP Tool - удалить предыдущую, но...

http://ipicture.ru/uploads/080131/thumbs/k5QjCpWz5y.jpg (http://ipicture.ru/Gallery/Viewfull/438375.html)

То есть ставить поверх? Ничего страшного?

P.P.S. Докачала, начала ставить и вот, значит правильно чувствовала...
Всё равно пытаться ставить поверх?

http://ipicture.ru/uploads/080131/w2C5710hFK.jpg (http://ipicture.ru/)

вы нажимали на надпись "Полная антивирусная защита" внизу окна ?
это и есть кнопка деинсталяции ( хитро зашифрованная) ... :)

Нет, не нажимала естественно, спасибо за подсказку!

Добавлено через 5 минут

Удалилось!
И пошло полное сканирование ещё раз, ой и долго же это будет...
Ну ничего, зато уже виден свет в конце туннеля, благодаря знатокам с VirusInfo с вашей оперативностью!

Результат лечения по состоянию на утреннюю загрузку компа 1 февраля.
Вчера вечером 31.01 начала сканировать полностью комп, то есть выставив ВСЕ возможные галочки в окошке AVP Tool, - в 18:00.
Закончилось сканирование где-то около 4 ночи. И до начала пятого ещё лечилась.
"Проверено 3403263 файла, обезврежено 1160 объектов"

http://ipicture.ru/uploads/080201/thumbs/o5AoqraC4E.jpg (http://ipicture.ru/Gallery/Viewfull/446359.html)

Перед этим ПОЛНЫМ сканированием делала три попытки НЕполных, но после перезагрузки опять все вылеченные накануне ехе-шники (только ехе-шники!) - снова оказывались заражены. Вирус один и тот-же Virus.Win32.Agent.f.

Пока с утра больше проблем с компом не замечаю. Правда произошла ведь только одна перезагрузка после ПОЛНОГО лечения.
Кое-какие проги правда сразу загружаться не хотят (например QIP), но после перестановки работают. Это те же, что и ругалились, что они "corrupted" в период зараженности.

Хочу кого-нибудь поблагодарить, как это сделать? :)

сделайте комплект логов ... на всякий случай ....

Хорошо!

Вроде всё восстановилось, но многие проги и игры приходится по мере первого обращения к ним - переустанавливать.
Посылаю результирующие логи.

P.S. O-o-o-op-sss, опять не удалось - размер 2-х файлов превышен на самую малость ... Один файл прошёл.

http://ipicture.ru/uploads/080202/2159/thumbs/Q5uTVuOgEe.jpg (http://ipicture.ru/Gallery/Viewfull/454468.html)

Посылать по ссылке "Прислать запрошенные файлы"?

P.P.S. Не-а-а-а, там тоже не принимает


ОТПРАВИЛА ПОЧТОЙ! 2 файла

ничего подозрительного похоже нет .... но нужен еще один лог авз ...
давайте очистим хост файл ... нет смысла в таком огромном ...


begin
ClearHostsFile;
RebootWindows(true);
end.

после этого размер логов заметно уменьшится ...

Посмотрите ушедшее по почте, потом скажете окончательно и я применю код, хорошо?

P.S. Правда только что увидела авто-ответ почты:

Ваше сообщение под темой
Крайний случай
было отложено для рассмотрения модератором списка рассылки.
Причина:
Объем сообщения слишком велик: 300791 байтов при ограничении в 40
Кб
После рассмотрения, сообщения может быть переправлено в список
рассылки, или же Вы получите извещение о решении о модератора.

КАК У ВАС СЛОЖНО ПРОБИТЬСЯ!

Скажите пожалуйста, Вы сможете проверить почту или надо в любом случае сначала уменьшать кодом эти 300 кб?

ваших файло нет .... логи нужно только прикреплять к сообщения и никак иначе ...

Скрипт выполнила ("успешно"), комп перегрузился, а что теперь?
Сделать недостающий лог "virusinfo_syscure" и с текстовиком лога HijackThis посылать?
Или сразу делать ВЕСЬ набор снова?

И ещё вопросик.
Заметила, что всё-равно, даже переставляемые проги (QIP, иногда Opera, кое-какие мелкие игрушки) - потом после перезагрузки снова "портятся".
Их надо деинсталлировать и поставить начисто?
Спасибо.

Мой кабинет - Разное - Вложения
Удалите там старые файлы, чтобы место освободить.

Добавлено через 1 минуту


Или сразу делать ВЕСЬ набор снова?

Заметила, что всё-равно, даже переставляемые проги (QIP, иногда Opera, кое-какие мелкие игрушки) - потом после перезагрузки снова "портятся".
Не нравится мне это. Делайте все логи по новой.

причем обязательно "стандартный скрипт 3" которого мы так и не дождались ...

Ага, понятно

Грузите логи. Место освободил.

Сделала логи, попытаюсь снова отправить...
Приняло!
Теперь жду пиговора :P

выполните скрипт ...


begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\Programs\Punto Switcher\ps.exe','');
QuarantineFile('C:\WINDOWS\system32\ntoskrnl.exe', '');
BC_Importall;
BC_Activate;
RebootWindows(true);
end.

пришлите карантин согласно приложения 3 правил ...

Вот о чём я и говорила... Снова сейчас с утра (после делания логов) запускаю, например, QIP и уже ПОСТОЯННО получаю такое окошко, хотя вчера, после очередной переустановки, QIP целый день проработал нормально.
А сейчас утром (правда после использования AVZ и HijackThis - не знаю - есть ли связь?) - снова "опять-двадцать пять"


http://ipicture.ru/uploads/080203/zUr2qrEUT7.jpg (http://ipicture.ru/)

Добавлено через 4 минуты

Посмотрела - Вам нужен PuntoSwitcher. А он не запущен. Значит перед выполнением скрипта - запустить?

ничего не нужно запускать ....

Вобщем запущу, а то я его недавно действительно выгрузила, и сделаю код

Добавлено через 2 минуты

ОК, не буду

Добавлено через 21 минуту

Сделала архив из ВСЕГО карантина, шлю

Добавлено через 2 минуты

Результат загрузки
Файл сохранён как 080203_013732_virus_47a56f3ceca17.zip
Размер файла 99457
MD5 bcabf7556f44aff177216c7993832f65
Файл закачан, спасибо!

D:\Programs\Punto Switcher\ps.exe - Virus.Win32.Agent.f
т.е. нужно проводить полную проверку AVPTool ВСЕХ дисков ...

Кстати, добавлю.
Когда выполнила последний код и комп стал перегружаться, то сообщения о выходе и завершении работы я видела в виде узенького окошка, а не во весь экран, как постоянно.
И при запуске Винды - опять "поломалась" прога в автозапуске "TVBrowser Lite". Хотя до этого, в отличие от других пострадавших от вирусов, как например QIP, она последние дни запускалась нормально. А тутт, увы, снова непорядок, пишет: "размер фaйла изменен... завершает работу".

Добавлено через 6 минут


D:\Programs\Punto Switcher\ps.exe - Virus.Win32.Agent.f
т.е. нужно проводить полную проверку AVPTool ВСЕХ дисков ...
От блиннннннн!!!!!
А может что-то в самом процессе сканирования AVP Tool - не учтено? Может он там архивы какие не сканирует? Может ещё что?
Я же вот писала:
"Ур-р-р-а-а!
Результат лечения по состоянию на утреннюю загрузку компа 1 февраля.
Вчера вечером 31.01 начала сканировать полностью комп, то есть выставив ВСЕ возможные галочки в окошке AVP Tool, - в 18:00.
Закончилось сканирование где-то около 4 ночи. И до начала пятого ещё лечилась.
"Проверено 3403263 файла, обезврежено 1160 объектов"

Я конечно запущу сегодня снова, но как избежать бесрезультатного (впоследствии) аж 10-ти часового сканирования?

вижу такой выход ... после сканирования поставте триальную версию антивируса касперского ...

Свежую AVP Tool нада качать?

желательно ...

вижу такой выход ... после сканирования поставте триальную версию антивируса касперского ...
Похоже Вы правы. Что же ещё делать раз McAfee пропускает до сих пор этот вирус.
А сколько придётся подержать триалку?
Кстати, она может и не стать на комп, где McAfee, у меня это уже было. А McAfee удалить - страшная проблема, я пару лет назад чуть с ума не сошла, там спецутилиты нужны. Ну ладно, буду мучаться.
А сколько придётся подержать триалку, как думаете?

срок триального использования 1 месяц ... вот и будете иметь хорошую защиту целый месяц ... ;)

Плтеряла адрес, откуда AVPTool качать...

вот (http://virusinfo.info/showpost.php?p=180332&postcount=19)

Ага, спасибо ...
Это потому что тогда у меня Opera не запускалась, я IE пользовалась и там история осталась. А щас снова Opera...
А то зашла тут, а нетучки
http://www.kaspersky.ru/removaltools

Добавлено через 3 минуты

Кстати, вот интересный вопрос, в продолжение...
Вы сейчас нашли СНОВА тот же вирус, с которого всё и началось. Вы уверены, что он пришёл после полного лечения - извне (!), а не сохранялся где-то на компе, т.е. спрятался?
Мне кажется, по наитию, что - второе... Как думаете?

спрятался в кокой-то программе которую вы переустанавливали ...

А мне вот, что кажется. Я за период этих метаний несколько раз качала AVZ и сохраняла в разных местах. Заметила, что запуская их, первые попавшиеся ранее разархивированные, я вижу в отчёте красную строчку про изменение её размера. То есть у меня до сих пор (по крайней мере до вчерашнего вечера точно) есть "побитые" по крайней мере AVZ. Так вот, чтобы в последних логах избежать этой красноты, я нашла способ изощрялась - разархивировала сохранённый архив AVZ в новое место, тогда её скан выходил БЕЗ красной строчки. Может мне поудалять AVZ?

да ..

Удалила.
Перед оставлением компа на долгое сканирование ещё один вопрос.
А что такое моя репутация: Репутация 99
А у Вас: Репутация 570
Это значит, что я дурочка а вы умный? :)
Да и 99 тогда мне многовато будет... :)

А что такое моя репутация: Репутация 99
У меня хорошее настроение было :wink:

У меня хорошее настроение было :wink:
Поняла, но немного, то бишь не до конца :>
Но всё-равно спасибо!
*****************************************
Процесс сканирования, длившийся на этот раз около 9 часов, показал 1111 обнаруженных объектов (прошлый раз 1160).
Но...
Не заметила когда, не наблюдала первые часа 4, но как минимум за 2 часа (как минимум!) до завершения сканирования - изменения в количестве обнаруженных объектов ОСТАНОВИЛОСЬ на 1111. И такое число держалось до конца процесса.
Это насторожило. Не понимаю...
Хоть 1111 держалось неизменным, но сообщения об обнаруженных объектах и вирусах в правом нижнем углу экрана всё это время появлялись с той же регулярностью, что и в началае процесса.
Очень странно.

Это значит, что я дурочка а вы умный? :)
Это значит, что вас тут пока мало знают и ещё не оценили по достоинству.

Ну что, друзья...
Всё очень плохо. Вчера около 11 утра воскресенья, как-только началось сканирование, я отключила восстановление системы. Надеялась, что когда закончится сканирование, потом закончится лечение, а потом перегрузится комп, чтоб вирусы снова не подхватились откуда-то, как уже у меня произошло.
И что же... Сканирование и лечение закончились около 21 часа, я выключила комп.
Сейчас утро понелельника, я загружаю комп и не дожидаясь подсказок, запускаю на всякий случай опять AVP Tool.
И... о Боже!!!!!
Снова то же самое!

Опять пошли обнаруживаться теже вирусы:

http://ipicture.ru/uploads/080204/thumbs/O1auaGmT8w.jpg (http://ipicture.ru/Gallery/Viewfull/472229.html)

Я не стала продолжать это многочасовое БЕСПОЛЕЗНОЕ занятие, остановила скан, сделала скриншот и решила снова обратиться к Вам за помощью.
Что в такой ситуации ещё можно сделать?
Переустанавливать систему?!
Или есть другие методы?
Мне сказали, что нужно поставить Каспера.
Но очень не хочется принципиально менять антивирус из-за одноразового-ОДНОвирусного выясненного заражения...

Как выход....

пуск - выполнить - msconfig снять ВСЮ автозагрузку

Желательно отключить и все службы кроме AVPTool и после перезагрузки запустить проверку и пойти выпить кофе ;)

Добавлено через 3 минуты

Да никаких запусков программ во время проверки только кофе с * (*-любой любимый продукт)

Иначе опять лечить сначала начнем..

и все же затем , настоятельно рекомендую, установить полный антивирус касперского ...
с этим зверем практически больше никто не может бороться ...

... ещё не оценили по достоинству
К сожалению моё единственное, но неоспоримое достоинство - постоянное наличие более 1000 экземпляров нескоренимого Virus.Win32.Agent.f :(

и все же затем , настоятельно рекомендую, установить полный антивирус касперского ...
с этим зверем практически больше никто не может бороться ...

AVPTool тоже лечит но необходимо отключить 100% автозагрузки + 98% системы
Остается AVPTool + и почти безопасный режим....

но остается одно но , AVPTool не обеспечивает резидентной защиты ... а мы не знаем источника заражения ...

Как выход....
пуск - выполнить - msconfig снять ВСЮ автозагрузку
Желательно отключить и все службы кроме AVPTool и после перезагрузки запустить проверку и пойти выпить кофе ;)
Да никаких запусков программ во время проверки только кофе с * (*-любой любимый продукт)
Иначе опять лечить сначала начнем..
Так-так-так...
Первое, что напрашивается на ум, что за 10 часов я обопьюсь кофе :P
А теперь ближе к телу... :)
Итак, если я правильно поняла:
1. Убрать ВСЕ проги, которые в Автозагрузке
Ну с этим более менее понятно
2. Отключить все службы, кроме AVPTool
Тут хотелось-бы уточнений.
Можно я выложу скриншот моих служб (если конечно найду), а Вы скажете что точно отключать?
3. После перезагрузки запустить проверку
А это понятно :)

Источник заражения это ВСЯ автозагрузка....уже подобное лечил когда отключаешь все....лечится на УРА.

Хотя согласен, чтобы избежать головной боли юзера лучше установить триал антивируса касперского

AVPTool тоже лечит но необходимо отключить 100% автозагрузки + 98% системы
Хорошо, допустим, победим вирус на убранной загрузке, выключенных службах, а как потом? Службы включу, автозагрузку добавлю и снова?...
Ведь проги автозагрузки AVP Tool тоже лечит, как и все процессы, судя по отображаемым им сообщениям...

Добавлено через 2 минуты


Хотя согласен, чтобы избежать головной боли юзера лучше установить триал антивируса касперского
Заражение, как я уже понимаю, произошло когда-то, недели полторы уже, одномоментно. До этого ГОДАМИ такого вируса не было на компе при постоянном Инете и с McAfee.
Если мы сможем одноразово победить (только как?!) ЭТОТ вирус, то может и не обязательно менять McAfee?
Я к нему привыкла...

Через msconfig ставите галочки и перезагружаетесь:)

Добавлено через 4 минуты


А теперь ближе к телу

Это хорошо...;)

Х
Заражение, как я уже понимаю, произошло когда-то, недели полторы уже, одномоментно. До этого ГОДАМИ такого вируса не было на компе при постоянном Инете и с McAfee.
Если мы сможем одноразово победить (только как?!) ЭТОТ вирус, то может и не обязательно менять McAfee?
Я к нему привыкла...
можете не менять ... месяц поработаете с касперским ( вдруг понравится) ... а там глядиш и McAfee добавит вирус в свои базы .. ;)

можете не менять ... месяц поработаете с касперским ( вдруг понравится) ... а там глядиш и McAfee добавит вирус в свои базы ..

Полностью согласен будет намного легче и вам и нам

Через msconfig ставите галочки и перезагружаетесь:)
Это не совсем поняла... В какой момент?
Да и не сказали, что, мне придётся после лечения с отключёнными службами жить?
Автозагрузку верну, как указано, да? А как же AVP Tool автозагрузочные объекты лечит??

После лечения..

пуск - выполнить - msconfig - (вкладка автозагрузка, кнопка включить все, вкладка службы - включить все)
Это я пытался объяснить в посте №68

Добавлено через 2 минуты


А как же AVP Tool автозагрузочные объекты лечит??

Дойдет по очереди при проверке диска и вылечит

После лечения..
пуск - выполнить - msconfig - (вкладка автозагрузка, кнопка включить все, вкладка службы - включить все)

Это я уточнила просто, что именно ПОСЛЕ лечения.

Вот скрины:

http://ipicture.ru/uploads/080204/2159/thumbs/BNDWV0VCuR.jpg (http://ipicture.ru/Gallery/Viewfull/472656.html)

Значит смело все галки снимать? Перед сканом, а потом лечением?
Не взирая Майкрософтовская служба или нет? А вдруг комп не загрузится? У него же восстановление системы отключено.

http://ipicture.ru/uploads/080204/2159/thumbs/vRA7V62vzr.jpg (http://ipicture.ru/Gallery/Viewfull/472659.html)

Ну с этими понятно, снимать потом одевать в галочки :)


Дойдет по очереди при проверке диска и вылечит
А чего же (почему снова спрашиваю - волнуюсь) AVP не делал этого ДО этого?!

Добавлено через 24 минуты


можете не менять ... месяц поработаете с касперским ( вдруг понравится) ... а там глядиш и McAfee добавит вирус в свои базы .. ;)
У меня и стоял сначала касперский, а когда кабельщики провели сетевой Интернет через модем - они сами поставили McAfee 8.0, с тех пор и прижился у меня на компе, уже несколько лет, только обновляю, в смысле и апгрейдю и апдейтю :D
А вот как узнать - когда Каспер добавил мой любимый вирус в свою базу?
То есть сравнить (оценить) как сильно по времени тормозит McAfee?

Значит смело все галки снимать? Перед сканом, а потом лечением?
Не взирая Майкрософтовская служба или нет? А вдруг комп не загрузится? У него же восстановление системы отключено.

Система все равно критические службы не даст остановить...:)
Это те службы напротив которых стоит в колонке "Базовая" стоит ДА
Поставить галку дополнительно
windows instaler
setup_7.0.0.180_бла..бла

А чего же (почему снова спрашиваю - волнуюсь) AVP не делал этого ДО этого?!

Почему делал....но заражение шло следом

Система все равно критические службы не даст остановить...:)
Это те службы напротив которых стоит в колонке "Базовая" стоит ДА
Поставить галку дополнительно
windows instaler
setup_7.0.0.180_бла..бла
Почему делал....но заражение шло следом
1. Ясно, служб с ДА у меня только три (как на скрине выше), их мне не дадут отключить. Хорошо.
2. setup_7.0.0.180_бла..бла - это AVP Tool. Тоже ясно.

А теперь вот какой парадокс. Решила послать на Virus Total (http://www.virustotal.com/ru/) лишь один, первый попавшийся заражённый экзешник, из тех которые обнаружились сегодня утром при начале сканирования:

http://ipicture.ru/uploads/080204/2159/thumbs/T61dFtdR40.jpg (http://ipicture.ru/Gallery/Viewfull/473009.html)

Я его выделила жёлтым.
И вот несподиваный (как говорят украинцы) результат:

http://ipicture.ru/uploads/080204/2159/thumbs/U39SQTv1Nw.jpg (http://ipicture.ru/Gallery/Viewfull/473045.html)
Почему Kaspersky 7.0.0.125 2008.02.04 - МОЛЧИТ?!
Как это объяснить?!
Как-будто надо мной кто-то хочет надругаться, так всё запутано :) другого вывода не могу сделать.
Объясните??

Дейстаительно интересно, давайте пару файликов поменьше
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17062

Как-будто надо мной кто-то хочет надругаться
Это врядли...у нас приличный ресурс:P

ну файл то уже вылечен ;) .... поэтому и молчит ...

ну файл то уже вылечен ;) .... поэтому и молчит ...

Очень даже может быть.....:>

Дейстаительно интересно, давайте пару файликов поменьше
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=17062
Это врядли...у нас приличный ресурс:P

Мальчики, я уже не знаю...
Получается так, что если б я убила любимого... в смысле McAfee :) и поставила Каспера 7.0.125, то результата не получила б всё-равно, и я б опять вернулась к разбитому корыту.
Я просто в растерянности...
Хорошо, щас выберу пару файлов.
Ехе-шники действительно все немаленькие.
Пошлю этот etc.exe, что проверялся на Virus Total - он около 1 Мб и ещё какой-то найду из выявленных сегодня. Щас...

Добавлено через 2 минуты


ну файл то уже вылечен ;) .... поэтому и молчит ...
Блин, точно, я ж забыла, что по привычке ВЫЛЕЧИЛА эти первые объекты. Щас запущу AVP Tool снова, найду заражённый и пошлю на Virus Total ... wait a minute :)

Сканирует, но не нашёл пока ни одного, ждуссс-ссс

Уже находит, но наберу их побольше, чтоб был выбор в размерах

Добавлено через 42 минуты

Мне так никто и не подсказал с какого времени Касперский обнаруживает МОЙ вирус :) ?
Просто хочу послать на McAfee (еле нашла способ - https://www.webimmune.net/default.asp и целый час ждала письма о подтверждении регистрации, уф-ф-ф) напрямую какой-то файл с вирусом и с указанием, что Каспер его знает с такого-то времени и с такой-то классификацией.
И почему вчерашний скан смог застопориться на числе 1111, но тем не менеее продолжал сканирование и обнаружение?

И почему вчерашний скан смог застопориться на числе 1111, но тем не менеее продолжал сканирование и обнаружение?
И тайна сия есть необъяснима;)

Добавлено через 1 минуту

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=154627

C большим трудом "подолала" (укр.) много препятствий (регистрация, заполнение данных, обрывающаяся через 20 минут неактивности сессиия связи с их сервером), но воткнула макафеям вирус.
Вот их автоответ:
_____________________________________
Avert(r) Labs WebImmune
Welcome: Iren Belova
Account: [email protected]
We have received your submission, ID 4504093, and your result will be available shortly, normally within 2 minutes. If you receive an inconclusive result then your submission is being escalated to a researcher and you will receive additional information once your sample is fully analyzed.
If you see no results posted for this ID under the My Account page after 10 minutes, please send a query to the WebImmune mailbox. Files should not be attached to this query as we have already received them. This query will be sent to our development team to determine if there are any issues with WebImmune.
Thank you.
McAfee Avert(r) Labs
____________________________________
Буду ждать, шо пошевелятся и пришлют какой-то ответ через 2 минуты
____________________________________
Вот ответ:
"Upon analysis the file submitted does not appear to contain one of the 200,000 known threats in the AutoImmune database. The file may contain a new threat, or no code capable of being infected. Your submission is being forwarded to an Avert Labs Researcher for further analysis. You will be contacted by AVERT through e-mail with the results of that analysis."

Короче - не знают они этого вируса, будут искать в этом напрямку (укр.)

Ну а Virus Total - "нормально" теперь показал:

http://ipicture.ru/uploads/080204/2159/thumbs/R131swp35k.jpg (http://ipicture.ru/Gallery/Viewfull/473669.html)

Добавлено через 18 минут



Поставить галку дополнительно
windows instaler
setup_7.0.0.180_бла..бла

Не нашла в msconfig - Автозагрузка такой строчки... Или это Вы имели в виду типа всё по сетапу Касперского?

Это вкладка службы

Попробовала начать отключение сначала прог в автозагрузке через msconfig и вот неудача

http://ipicture.ru/uploads/080204/2159/thumbs/A4XcMK15xX.jpg (http://ipicture.ru/Gallery/Viewfull/473814.html)

Я администратор на этом компе, это 100%.

http://ipicture.ru/uploads/080204/2159/thumbs/RSVSoUJ3To.jpg (http://ipicture.ru/Gallery/Viewfull/473887.html)

Или как это надёжно проверить и ещё раз убедиться?
Может это вирус не пускает сделать изменения?!


Опять странно.
Ну ладно, нельзя отключать - так нельзя, соглашаюсь, а тут замечаю, что вроде комп принял изменения (т.е. осталась НЕснятой только галочка на setup7 каспера) и предлагает перегрузиться.

http://ipicture.ru/uploads/080204/2159/7Av6oGQlbS.jpg (http://ipicture.ru/)

Ладно, пойдём дальше, но ближе к вечеру, потому как это дело будет до конца дня и до начала ночи

ааа....это самозащита работает:)

Это вкладка службы
А понятно, нашла.
Вобщем ВСЁ сделала:
1. Поубирала ВСЁ из Автозагрузки, кроме каспера
2. Поубирала ВСЁ из Служб кроме windows installer и те, которые с "Да".
Всё комп ждёт моей перезагрузки.
До неё ещё выйду из всех прог, на всякий случай, отключу McAfee.
Потом перегружусь и запущу сканирование ну и лечение.
ПРАВИЛЬНО??
Потом запущу Автозагрузки и Службы. Так?
И будет мне через 9-10 часов счастье?? :)

После перезагрузки и так ничего не включиться, кроме того, что вы отметили галками...
setup_7.0.0.180_бла..бла надо и в службах отметить

После перезагрузки и так ничего не включиться, кроме того, что вы отметили галками...
setup_7.0.0.180_бла..бла надо и в службах отметить
Знаете, я вообще-то так и подумала, но... уже дую на холодную воду... не знаю что ещё ТАКОГО сделать, чтоб очередные 10 часов сканирования не пошли ОПЯТЬ насмарку...

Во-о-о-о, в последний момент ВЕРНУЛА в Службы "setup_7.0.0.180_бла..бла"
Ой, я так боюсь опять провала...

Тогда установим касперского, или на ваш антивирус базы упадут:)

Тогда установим касперского, или на ваш антивирус базы упадут:)
Обнадёжил... ;)
Глупей ситуации не придумать - устанавливать каждый раз тот антивирус, который знает твой вирус на компе. Причём этот вирус знаешь и сама... ужас как глупо.
Так где ж найти - когда Каспер стал распознавать этот вирус?

или на ваш антивирус базы упадут:)
ой думаю не скоро ....

Так где ж найти - когда Каспер стал распознавать этот вирус?

Уже вроде давал ссылку :? ладно повторю (за вознаграждение;))

http://www.viruslist.com/ru/viruses/encyclopedia?virusid=154627

Ага, я не заметила... Спасибо (вознаграждение :))
Касперы тоже очень долго пошевеливаются:
Детектирование добавлено: 23 мар 2007 06:09 MSK
Обновление выпущено: 31 окт 2007 17:55 MSK
Семь месяцев учились лечить, да так, как вижу, и не выучились толком.

А безопасный режим работает наверно (вы удалили пост?).
Я в самом начале мытарств сканировала CureIt сначала в безопасном потом в "опасном" режимах, как учили ;)
Но судя, например, по сегодняшнему результату на Virus Total - DrWeb этого вируса не знает вовсе до сих пор...
Что за дураки...

А безопасный режим работает наверно (вы удалили пост?).
Изменил...

DrWeb этого вируса не знает вовсе до сих пор...
Можно отправить...

А вы сейчас сканируете или потом?

Можно отправить...
А вы сейчас сканируете или потом?
А куда отправлять им (DrWeb-у) ?
Не сканирую пока, потом, включу за 10 часов до 8 утра, значит вечерком, попозже. А то с этими мамонтообразными сканированиями я не успеваю ничего делать.
Тем более вы сказали, что нельзя ничего одновременно делать...

Тем более вы сказали, что нельзя ничего одновременно делать...
Дышать на блок нельзя...не то, что что то делать:)


А куда отправлять им (DrWeb-у) ?
Отправить дрвебовцам работу (http://www.drweb.ru/newvirus/), чтоб не спали на роботе:D

Отправить дрвебовцам работу (http://www.drweb.ru/newvirus/), чтоб не спали на роботе:D
Отправила им, с приветом (комментарием), дав понять, что их CureIt ни на что не годный, раз не ловит такого Virus.Win32.Agent.f

Добавлено через 2 часа 48 минут

Скоро буду запускать, через часик

Итак, докладываю :)
С добрым утром!
В Украине 08 часов 5 февраля 2008.
Запустила скан около 20 часов вчера вечером, около 3:30 ночи проверила комп - ещё сканировалось с ожидаемым временем окончания около 5:30.
В результате, начала лечение 148 обнаруженных, но отложенных лечением файлов, только около 7:30, когда окончательно проснулась и пошла пить кофе :P.
Я заметила, что в закладке AVP Tool "События" идут нарастающие записи про значительно большее количество, чем в закладке "Обнаружено", т.е. многократно больше, чем 148, объектов.
Но они почему-то вылечиваются уже без команды (и вроде ещё и создаётся копия, правда непонятно куда она девается, неужели я завалена копиями?!)
Потом вернула назад все галочки в Службах и Автозагрузке.
И запустила скан снова.
Вот уже прошло .... более получаса и около 70.000 просканированных файлов - и ЧИСТО!
Раньше за это время штук 15 как минимум было.
Вот и всё.
Да, забыла сказать, что ещё вчера один хороший знакомый посоветовал попробовать утилитку не помню, как называется, щас...
Ага - anti_autorun
Так она вроде нашла что-то плохое, потому что написала:
"Удалено файлов AUTORUN.*: 28."
Второй раз после перезагрузки её запускала - всё уже ничего не обнаружила.
А потом уже пустила скан при отключённых Службах и Автозагрузке.
Вот уже сейчас просканировано сколько:

http://ipicture.ru/uploads/080205/thumbs/Us45fd40t2.jpg (http://ipicture.ru/Gallery/Viewfull/480773.html)

И всё чисто!!
И QIP сегодня утром на удивление ПЕРВЫЙ РАЗ за полторы недели запустился без вылета и переустановки и без сообщений, что он корррррумпирован :) т.е corrupted.
Ну не знаю... Это всё?

Ну не знаю... Это всё?
не кажіть гоп ... :)
логи начиная с пункта 10 праил на всякий случай ...

Я понажимала Спасибо, как мне тоже подсказали.
Спасибо ребята!

Добавлено через 4 минуты


не кажіть гоп ... :)
логи начиная с пункта 10 праил на всякий случай ...
Я за это время поумнела грамм так на 500 в голове.
Чувствую, что можно казать ГОП-ГОП-ГОП :P
Хорошо, понятно, сделаю.

Сделала... ловите!

пофиксите...


F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe

ad-aware и SpyEraser денинсталитруйте ....

Что делать сначала имеет разницу?
Может сначала убить эти проги?
P.S. Кстати Ad-aware я утром запустила, она сканировала, а близко к концу процесса зависла намертво, аж пришлось убивать процесс

порядок значения не имеет ....
нужно не "убить" а аккуратненько деинсталировать через установку удаление - программ ...

Я поняла-поняла, это я умничаю :)
А потом ими можно будет пользоваться, в смысле снова поставить?

пр наличии нормального антивируса ... в них нет небходимости вообще ...

Ладно, уже удалила обе и пофиксила, что было нужно.
McAfee в момент "фиксения" спросил - разрешить ли изменения где-то, я разрешила, правильно?
Что дальше?

правильно ...
теперь можно пойти выпить чашечку кофе ...

Уже с пол-восьмого пью (у нас GMT+2) :)

типа у нас тоже ;)

Это где?

да там где и у вас ... ;)

:beer: А-а-а-а

Отож...:)

правильно ...
теперь можно пойти выпить чашечку кофе ...
Я уже перепила весь остаток кофе в доме, надо идти в магазин, пополнять запасы, отпускаете? :)

Тогда, переходите на чай...

Ну тогда Вам подарок, а я пошла за кофе ... всё-же :)

http://ipicture.ru/uploads/080205/2159/GpCKKF12LU.jpg (http://ipicture.ru/)

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 6
В ходе лечения обнаружены вредоносные программы:

\\avz.exe - Virus.Win32.Agent.f (DrWEB: Win32.Kolumb)
d:\\programs\\punto switcher\\ps.exe - Virus.Win32.Agent.f (DrWEB: Win32.Kolumb)