-
Junior Member
- Вес репутации
- 61
Подозрения на неизвестный вирус :(
Добрый день!Подозрения связаны с тем, что последнее время Firwall Oupost регулярно регистрирует установки и изменения различных библиотек *.dll, при том что новые программы я не устанавливал и обновления имеющихся программ не производил. А также при регулярном сканировании AVZ видит "прямое чтение" пользовательских файлов, а NOD32 значительное количество пользовательских файлов не может проверить, т.к они по какой-то причине оказались заблокированы. Ещё не удаляется пустая папка на рабочем столе "1".Набор логов высылаю неполный, т.к. AVZ не может выполнить стандартный "скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info", при этом Винда съедает всю память+файл подкачки и формирует пустой лог скрапта с неправильным названием virusinfo_cure.zip.Имеющиеся логи я выложил на файлообменнике, т.к. прикрепить здесь их у меня не получается http://www.filemaster.ru/files/i8974.../i8976Помогите, пожалуйста..
Добавлено через 1 минуту
криво дал ссылки, пардон.
http://www.filemaster.ru/files/i8974
http://www.filemaster.ru/files/i8975
http://www.filemaster.ru/files/i8976
Последний раз редактировалось alex_2007; 19.11.2007 в 12:59.
Причина: Добавлено
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Куре-итом (п.2 Правил) проверялись?
В Outpost Security Suite есть антивирус, у Вас он д.б. отключен чтобы нормально работал НОД32.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
виноват, не делал проверку Dr.WEB он ни разу на компе ничего не находил, даже когда на компе был "зоопарк", я сделал вывод что пользоваться ей бессмысленно, она хоть и шаровая, но полностью нулячая. Но чтоб исправиться и для порядка, сейчас сделаю проверку...
-
Зря ты так. Против файловых вирусов, с которыми нам и AVZ справляться очень тяжело, Куре-Ит помогает очень хорошо, особенно посл. версия (4.44).
"Прямое чтение" - это первое подозрение на файловый вирус.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
возможно я не прав, спорить не стану. проверку Dr.Web`ом я сделал. ничего подозрительного, кроме двух файлов, которые уже несколько лет он называет вирусами. Я их никогда не удалял, т.к. другие антивирусные программы так не считают. И при наличии этих "вирусов" всё на компе раньше работало отлично. Поэтому, нынешние "приключения" я связываю с чем-то другим. А для чистоты эксперимента, я перенёс эти два файла на флэшку и сделал повторный "скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info". результат снова негативный.Если нужно, то могу выслать архивы этих файлов, но один из них "весит" более 4Мб
Добавлено через 1 минуту
Антивирус Outpost Security Suite всегда отключён, работает НОД32.
Добавлено через 2 минуты
Может "снести" НОД32 и попробовать Авастом или Касперским? жаль что невозможно одновременно несколько разных антивирей юзать
Добавлено через 4 минуты
Не знаю насколько это будет информативно, но могу выслать протокол неудавшегося "скрипта лечения/карантина..." там полно борьбы AVZ с руткитами и одна ошибка выполнения Антируткита.
Последний раз редактировалось alex_2007; 19.11.2007 в 15:49.
Причина: Добавлено
-
При выполнении "скрипта лечения/карантина..." антивирус отключали?
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
всё выключал: и антивирус и файрвол.
Добавлено через 8 минут
я так догадываюсь, что два "нормальных" лога чистые? может действительно каким-нить альтернативным антивиром пройтись?
Последний раз редактировалось alex_2007; 19.11.2007 в 16:28.
Причина: Добавлено
-
Сделайте дополнительный лог в безопасном режиме:
http://virusinfo.info/showthread.php?t=10387
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
сделал всё, как сказано. лог выложил здесь: http://www.filemaster.ru/files/i9076
-
А что за два странных файла у вас в папке автозагрузки:
C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR
C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
не знаю. при автозагрузке ничего странного не происходит. удалить или выслать в архиве для изучения?
Добавлено через 1 минуту
у меня на автозагрузке только НОД32, Аутпост, языковая панель, "громкость звука". остальных не знаю
Последний раз редактировалось alex_2007; 19.11.2007 в 17:16.
Причина: Добавлено
-
Пришлите эти два файла по правилам.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
эти два демона исчезли, вернее удрали! их нет в папке точно: AVZ их не находит и руками лазил в папку (системные и скрытые файлы открыты).
-
Выполните скрипт в AVZ:
Код:
begin
ClearQuarantine;
BC_QrFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX');
BC_QrFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR');
BC_DeleteFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR');
BC_DeleteFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX');
BC_Activate;
RebootWindows(true);
end.
Если что-то попадет в карантин - пришлите по правилам.
Повторите последний лог.
I am not young enough to know everything...
-
-
Мне так кажется, что это "ломалка" Оутпоста. Где-то с полгода назад такие файлики встречались. Замена Cache Outpost.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
скрипт выполнил, лог выложил здесь: http://www.filemaster.ru/files/i9111 те "неуловимые" файлы попались но я одноимённых файлов на компе нашёл ещё 6050 штук!!! они все маленькие от 20 байт до нескольких килобайт. для примера в virus.rar я заархивировал и 2 из автозагрузки и ещё 2 таких же, только из другой папки, для примера..."ломалка" Аутпоста есть. как работает не знаю. если нужно то выложу
Добавлено через 2 минуты
дважды закачал virus-архив, показалось что не тот закачал в первый раз...
Добавлено через 7 минут
ещё странные дела происходят с Аутпостом: он (Аутпост) стал обнаруживать сканирование портов с сайтов, которые никак не могут быть заподозрены в подобном.. может, действительно, Аутпост поломан неправильно?
Последний раз редактировалось alex_2007; 19.11.2007 в 18:38.
Причина: Добавлено
-
Ничего вредоносного в этих файлах нет, но откуда они и для чего - совершенно непонятно. И снова они сидят в автозагрузке! А больше ничего подозрительного в логах не видно...
Добавлено через 2 минуты
Попробуйте деинсталлировать Аутпост вместе с ломалкой, потом поиском найти и поудалять все эти странные файлики.
Последний раз редактировалось Bratez; 19.11.2007 в 18:44.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 61
только что об этом хотел спросить
Добавлено через 3 минуты
удивительно, что они видны только под Админом, сейчас в инете я с правами юзера и ни одного из 6050 не видно! чудеса какие-то
щас попробую загрузится под Админом и изучить их по дате создания, если нечего не прояснится, точно снесу Аутпост с ломалкой и всеми странными файлами.
Последний раз редактировалось alex_2007; 19.11.2007 в 18:51.
Причина: Добавлено
-
Отыскал на форуме Касперского.
Ответ про эти файлики:
ВОПРОС: После установки Outpost Security Suite я обнаружил множество скрытых файлов на моем жестком диске.
ОТВЕТ: Не беспокойтесь, мы не планируем внедрять руткиты на ваш компьютер! Во время первой проверки Outpost Security Suite создает в каждой проверяемой папке два вспомогательных скрытых индексных файла (OP_CACHE.ATR и OP_CACHE.IDX). Программа использует эти файлы для кэширования статусов проверки всех файлов и папок в этой директории антивирусом и «антишпионом». Такой подход существенно увеличивает скорость сканирования, так как неизмененные файлы не подвергаются повторной проверке. Если файл меняется или обновляется база сигнатур вредоносных программ, кэш сбрасывается и при следующей проверке файлы будут проверены снова.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 61
я их уже успел удалить ))ну, ничего при новой проверке Аутпост новых насоздаёт