BackDoor'ы одолевают.

[AnVaCher]

OS Windows XP SP3.
Почти год живу в Окошках без постоянной антивирусной защиты. Соблюдая меры предосторожности, жил благополучно. Периодические проверки различными CureIt'ами показывали чистоту системы, да и по поведению компьютера это было похоже на правду.Однако пришлось-таки воспользоваться пару раз подозрительными приложениями. С некоторых пор стал замечать, что долго открываются сайты, прям как будто я пользуюсь не выделенной линией 30Мбит/с, а диал-ап'ом. ВКонтакте стала медленно грузиться почти вся музыка, а часто и вовсе недозагружаться; медленно грузятся видеоролики с youtube и т.п. Кроме того, FireFox после перезапуска стал быстро набирать "вес" в памяти и оставлять его резидентным по несколько дней стало проблематично - стало нужно перодически его закрывать, чего ранее НЕ наблюдалось.

Всё вышеперечисленное, а также наступление необходимости регулярной/плановой проверки компьютера сподвигли меня на
1 - проверку компьютера загрузочной флэшкой Касперского. Он нашёл несколько "зловредов", о которых я знаю и которые никак не могут причинить вред по ряду причин.
2 - проверку компьютера CureIt'ом в безопасном режиме. Я выбрал НЕ "Быстрая проверка", которая включается по умолчанию, а "Полную проверку". CureIt выявил BackDoor.IRC.Sbot.14859 в приложении, которое я подозревал на ненадёжность. Этот же зловред нашёлся в "точках восстановления системы".

Затем, действуя по плану, предписанному вашим сайтом проверил систему AVZ4 и HiJachThis'ом. AVZ4 обнаружил BackDoor.Win32.Rbot.acpj в приложении, которое тоже следовало бы подозревать И также в "точке восстановления системы". Есть ещё несколько странных ситуация, но они больше похожи на паранойю.
Прошу вас оказать мне любезность и проверить мою систему на чистоту.

[Info_bot]

Уважаемый(ая) AnVaCher, спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

[Дeнис]

AnVaCher, C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\rar-password-recovery.exe Как раз на этот файл и идет детект. Вы её пользовались уже?

[AnVaCher]

Возможно. Я уже НЕ могу вспомнить точно. Я точно пользовался этим на другом компьютере, а про текущий запамятовал.

AnVaCher, C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\rar-password-recovery.exe Как раз на этот файл и идет детект. Вы ею пользовались уже?

[Дeнис]

AnVaCher, Удалите его,если скачивали не с проверенного сайта,иначе просто может быть вирус ,а не программа для восстановления паролей!

[AnVaCher]

Удалил. Можно ли систему считать чистой ?
AVZ4 во время работы указывал и на доступ к компьютеру анономов и на запуск "лишних" служб... Часть я нашёл самостоятельно и устранил, действительно, некоторые политики были изменены. Я исправил, что увидел и что понимал. В остальном уповаю на вас, знатоки.

Некоторые сайты продолжают загружаться подозрительно, в частности этот сайт. Пишу вам из под Убунты с другого компьютера, а с проверяемого компьютера virusinfo.info открывается долго, и порой вовсе НЕ открывается.

AnVaCher, Удалите его,если скачивали не с проверенного сайта,иначе просто может быть вирус ,а не программа для восстановления паролей!

[Дeнис]

AnVaCher, Сделайте лог MBAM + лог RSIT

[AnVaCher]

Сделал.

AnVaCher, Сделайте лог MBAM + лог RSIT

[Дeнис]

AnVaCher, В MBAM удалите только

Код:

Обнаруженные ключи в реестре:  3
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\50sovetov.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.

Далее

1.Отключите Антивирус/Фаервол.

2.Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFileMask('C:\program files\relevantknowledge', '*', true);
 DeleteDirectory('C:\program files\relevantknowledge');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
 ExecuteWizard('SCU',2,3,true);
RebootWindows(true);
end.

После перезагрузки!


3. Выполните скрипт в AVZ

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

ProxyServer = 74.221.64.9:3128 сами ставили?

Далее

Сделайте новые логи по правилам!

[AnVaCher]

В MBAM удалите только...
---
Сделал.


Далее
1.Отключите Антивирус/Фаервол.
---
Сделал. Можно ли уже включать ?

2.Выполните скрипт в AVZ
---
Сделал.

После перезагрузки!
Выполните скрипт в AVZ
---
Сделал.

Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
---
"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"
Судя по длине файла (22 байта), он пустой.

ProxyServer = 74.221.64.9:3128 сами ставили?
---
Возможно. Использовал несколько разных прокси некоторое время. Сейчас не актуально.

Далее
Сделайте новые логи по правилам!


Я и далее буду неукоснительно следовать вашим указаниям, но справедливости ради замечу, что лучше всего на ускорение работы Сети повлияло удаление из локалки "ударенного молнией" свича.

[AnVaCher]

Я вернулся. Прошу прощения за вновь возрождённую тему.
Я сделал проверку CureIt'ом в безопасном режиме и он снова нашёл BackDoor.IRC.Sbot.14859 в точках восстановления. "Значит что-то ещё живёт в моём компьютере", - подумал я и понял, что мне следовало отключить восстановление системы, как то предписано инструкцией. Я отключил ... и снова проверил.
Затем проверил AVZ4 и HiJackThis'ом. Результат прикрепляю, как вы и просили.

P.S. Когда подбирал файлы для прикрепления, обратил внимание, что файл virusinfo_cure.zip "весит" 640Кб.

P.P.S. Как мне относиться к такому предупреждению AVZ4:
"8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)" ?

В списке служб \Мой компьютер - Управление - Службы\ я нашёл лишь некоторые из перечисленных.

[Никита Соловьев]

P.P.S. Как мне относиться к такому предупреждению AVZ4:

Как к рекомендации. Можно отключить эти службы, если хотите.
Если компьютер используется дома, будет даже полезно.

Выполните содержащийся здесь скрипт для отключения указанных служб

Код:

begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('Messenger', 4);
SetServiceStart('Alerter', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
end.

Скрыть

Проблемы решены?

[AnVaCher]

Да. В системе чисто ли ?

Проблемы решены?

[Никита Соловьев]

Ничего плохого не увидел.