Показано с 1 по 20 из 20.

Подозрения на неизвестный вирус :( (заявка № 14317)

  1. #1
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61

    Exclamation Подозрения на неизвестный вирус :(

    Добрый день!Подозрения связаны с тем, что последнее время Firwall Oupost регулярно регистрирует установки и изменения различных библиотек *.dll, при том что новые программы я не устанавливал и обновления имеющихся программ не производил. А также при регулярном сканировании AVZ видит "прямое чтение" пользовательских файлов, а NOD32 значительное количество пользовательских файлов не может проверить, т.к они по какой-то причине оказались заблокированы. Ещё не удаляется пустая папка на рабочем столе "1".Набор логов высылаю неполный, т.к. AVZ не может выполнить стандартный "скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info", при этом Винда съедает всю память+файл подкачки и формирует пустой лог скрапта с неправильным названием virusinfo_cure.zip.Имеющиеся логи я выложил на файлообменнике, т.к. прикрепить здесь их у меня не получается http://www.filemaster.ru/files/i8974.../i8976Помогите, пожалуйста..

    Добавлено через 1 минуту

    криво дал ссылки, пардон.

    http://www.filemaster.ru/files/i8974

    http://www.filemaster.ru/files/i8975

    http://www.filemaster.ru/files/i8976
    Последний раз редактировалось alex_2007; 19.11.2007 в 12:59. Причина: Добавлено

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Куре-итом (п.2 Правил) проверялись?

    В Outpost Security Suite есть антивирус, у Вас он д.б. отключен чтобы нормально работал НОД32.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    виноват, не делал проверку Dr.WEB он ни разу на компе ничего не находил, даже когда на компе был "зоопарк", я сделал вывод что пользоваться ей бессмысленно, она хоть и шаровая, но полностью нулячая. Но чтоб исправиться и для порядка, сейчас сделаю проверку...

  5. #4
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Зря ты так. Против файловых вирусов, с которыми нам и AVZ справляться очень тяжело, Куре-Ит помогает очень хорошо, особенно посл. версия (4.44).
    "Прямое чтение" - это первое подозрение на файловый вирус.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  6. #5
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    возможно я не прав, спорить не стану. проверку Dr.Web`ом я сделал. ничего подозрительного, кроме двух файлов, которые уже несколько лет он называет вирусами. Я их никогда не удалял, т.к. другие антивирусные программы так не считают. И при наличии этих "вирусов" всё на компе раньше работало отлично. Поэтому, нынешние "приключения" я связываю с чем-то другим. А для чистоты эксперимента, я перенёс эти два файла на флэшку и сделал повторный "скрипт лечения/карантина и сбора информации для раздела "Помогите" virusinfo.info". результат снова негативный.Если нужно, то могу выслать архивы этих файлов, но один из них "весит" более 4Мб

    Добавлено через 1 минуту

    Антивирус Outpost Security Suite всегда отключён, работает НОД32.

    Добавлено через 2 минуты

    Может "снести" НОД32 и попробовать Авастом или Касперским? жаль что невозможно одновременно несколько разных антивирей юзать

    Добавлено через 4 минуты

    Не знаю насколько это будет информативно, но могу выслать протокол неудавшегося "скрипта лечения/карантина..." там полно борьбы AVZ с руткитами и одна ошибка выполнения Антируткита.
    Последний раз редактировалось alex_2007; 19.11.2007 в 15:49. Причина: Добавлено

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    При выполнении "скрипта лечения/карантина..." антивирус отключали?
    I am not young enough to know everything...

  8. #7
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    всё выключал: и антивирус и файрвол.

    Добавлено через 8 минут

    я так догадываюсь, что два "нормальных" лога чистые? может действительно каким-нить альтернативным антивиром пройтись?
    Последний раз редактировалось alex_2007; 19.11.2007 в 16:28. Причина: Добавлено

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Сделайте дополнительный лог в безопасном режиме:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  10. #9
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    сделал всё, как сказано. лог выложил здесь: http://www.filemaster.ru/files/i9076

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    А что за два странных файла у вас в папке автозагрузки:
    C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR
    C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX
    I am not young enough to know everything...

  12. #11
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    не знаю. при автозагрузке ничего странного не происходит. удалить или выслать в архиве для изучения?

    Добавлено через 1 минуту

    у меня на автозагрузке только НОД32, Аутпост, языковая панель, "громкость звука". остальных не знаю
    Последний раз редактировалось alex_2007; 19.11.2007 в 17:16. Причина: Добавлено

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Пришлите эти два файла по правилам.
    I am not young enough to know everything...

  14. #13
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    эти два демона исчезли, вернее удрали! их нет в папке точно: AVZ их не находит и руками лазил в папку (системные и скрытые файлы открыты).

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт в AVZ:
    Код:
    begin
    ClearQuarantine;
     BC_QrFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX');
     BC_QrFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR');
     BC_DeleteFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.ATR');
     BC_DeleteFile('C:\Documents and Settings\Alexandr Internet\Главное меню\Программы\Автозагрузка\OP_CACHE.IDX');
    BC_Activate;
    RebootWindows(true);
    end.
    Если что-то попадет в карантин - пришлите по правилам.
    Повторите последний лог.
    I am not young enough to know everything...

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Мне так кажется, что это "ломалка" Оутпоста. Где-то с полгода назад такие файлики встречались. Замена Cache Outpost.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    скрипт выполнил, лог выложил здесь: http://www.filemaster.ru/files/i9111 те "неуловимые" файлы попались но я одноимённых файлов на компе нашёл ещё 6050 штук!!! они все маленькие от 20 байт до нескольких килобайт. для примера в virus.rar я заархивировал и 2 из автозагрузки и ещё 2 таких же, только из другой папки, для примера..."ломалка" Аутпоста есть. как работает не знаю. если нужно то выложу

    Добавлено через 2 минуты

    дважды закачал virus-архив, показалось что не тот закачал в первый раз...

    Добавлено через 7 минут

    ещё странные дела происходят с Аутпостом: он (Аутпост) стал обнаруживать сканирование портов с сайтов, которые никак не могут быть заподозрены в подобном.. может, действительно, Аутпост поломан неправильно?
    Последний раз редактировалось alex_2007; 19.11.2007 в 18:38. Причина: Добавлено

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Ничего вредоносного в этих файлах нет, но откуда они и для чего - совершенно непонятно. И снова они сидят в автозагрузке! А больше ничего подозрительного в логах не видно...

    Добавлено через 2 минуты

    Попробуйте деинсталлировать Аутпост вместе с ломалкой, потом поиском найти и поудалять все эти странные файлики.
    Последний раз редактировалось Bratez; 19.11.2007 в 18:44. Причина: Добавлено
    I am not young enough to know everything...

  19. #18
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    только что об этом хотел спросить

    Добавлено через 3 минуты

    удивительно, что они видны только под Админом, сейчас в инете я с правами юзера и ни одного из 6050 не видно! чудеса какие-то
    щас попробую загрузится под Админом и изучить их по дате создания, если нечего не прояснится, точно снесу Аутпост с ломалкой и всеми странными файлами.
    Последний раз редактировалось alex_2007; 19.11.2007 в 18:51. Причина: Добавлено

  20. #19
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Отыскал на форуме Касперского.
    Ответ про эти файлики:
    ВОПРОС: После установки Outpost Security Suite я обнаружил множество скрытых файлов на моем жестком диске.
    ОТВЕТ: Не беспокойтесь, мы не планируем внедрять руткиты на ваш компьютер! Во время первой проверки Outpost Security Suite создает в каждой проверяемой папке два вспомогательных скрытых индексных файла (OP_CACHE.ATR и OP_CACHE.IDX). Программа использует эти файлы для кэширования статусов проверки всех файлов и папок в этой директории антивирусом и «антишпионом». Такой подход существенно увеличивает скорость сканирования, так как неизмененные файлы не подвергаются повторной проверке. Если файл меняется или обновляется база сигнатур вредоносных программ, кэш сбрасывается и при следующей проверке файлы будут проверены снова.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  21. #20
    Junior Member Репутация
    Регистрация
    02.09.2007
    Сообщений
    52
    Вес репутации
    61
    я их уже успел удалить ))ну, ничего при новой проверке Аутпост новых насоздаёт

  • Уважаемый(ая) alex_2007, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Неизвестный вирус
      От SysF в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 24.11.2009, 03:29
    2. Неизвестный вирус
      От St.Lie в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 16.06.2009, 20:39
    3. неизвестный вирус
      От lang в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 06.02.2009, 15:34
    4. Неизвестный вирус
      От sinzovmi в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 07.03.2008, 19:08
    5. Неизвестный вирус
      От sinzovmi в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 30.01.2008, 13:16

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01412 seconds with 19 queries