ДЫШУ ЧЕРЕЗ СОЛОМЕНКУ...ОСТАЛОСЬ УЖЕ НЕМНОГО...:(

[alex-2]

1.через 15-20 мин работы в инете перезагружается эксплорер и ищезает нод 32.Программа вырубается.
2.Все программы перестают быть приложениями WIN 32.Невозможно запустить ни один экзэшник.
3.проверка вэбом в сэйф моде не даёт результат.проверка аваст антируткин сканером-0,а-секьюред антимальваре-0,стингер-0,авз-0.
ЖДУ ВАШИХ ПОЖЕЛАНИЙ И СОВЕТОВ.
Очень хотелось бы узнать к кому в инете можно ещё,если что обратиться за помощью.
С уважением Alex.
похоже win 32 kript...
проверил реестр и удалил ключ:
IObit Security 360

OS:Windows XP
Version:0.1.0.31
Time:18.02.2010 0:22:37

|Name|Type|Description|
Disabled.SecurityCenter, Registry Data, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center Value=AntiVirusDisableNotify
Disabled.SecurityCenter, Registry Data, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center Value=FirewallDisableNotify
Disabled.SecurityCenter, Registry Data, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center Value=UpdatesDisableNotify

думаю поторопился.можно вернуть со значением энабле?или это левый вирусный ключ ?

[Шапельский Александр]

У Вас установлены (или были установлены, но следы остались) следующие антивирусные продукты:
COMODO
a-squared Free
ThreatFire
Sandboxie
AnVir Task Manager (с элементами контроля запуска)
Lavasoft Ad-Aware Service
Kaspersky Lab
panda usb vaccine
NOD 32
Неудивительно, Что Вы "задыхаетесь" Рекомендую что-то одно оставить.

[alex-2]

У Вас установлены (или были установлены, но следы остались) следующие антивирусные продукты:
COMODO
a-squared Free
ThreatFire
Sandboxie
AnVir Task Manager (с элементами контроля запуска)
Lavasoft Ad-Aware Service
Kaspersky Lab
panda usb vaccine
NOD 32
Неудивительно, Что Вы "задыхаетесь" Рекомендую что-то одно оставить.

пожалуйста поясните что в этом списке лишнее ?
комодо-файрволл(без него никак)
а-секьюрити(антимальваре) -великолепно ловит троянов и другую мальрь(получше нода естественно она на эту живность и расчитана)
ThreatFire- это HIPS(не пересекающийся по функционалу с нод,антимальваре программами) прекрасно уживающийся с нодом
Lavasoft Ad-Aware Service(ошибка при установке-снёс программу)почему вы говорите,что она есть в системе?
Kaspersky Lab (это вирус ремовал тул !работал 15 минут назад в безопасном режиме win 32 kript только он нашёл.будет убран завтра .сегодня ещё раз просканирует систему.он не установлен постоянно!)
Sandboxie-всего лишь песочница(у меня нет возможности использовать гостевую учётную запись! мне без него -никак.)
panda usb vaccine-защита флэшки от авторана.расчитана на постоянное присутствие в системе.не конфликтует.заменить ?чем?

В системе,на мой взгляд по одному представителю каждого семейства программ.всё это живёт вместе,дружно уже более месяца и не ссорится меж собой.
как вы предлагаете распорядиться этим хозяйством и почему?

[Шапельский Александр]

Lavasoft Ad-Aware Service(ошибка при установке-снёс программу)почему вы говорите,что она есть в системе?

Есть "следы" от Lavasoft Ad-Aware в логах.
AnVir Task Manager--хорошая прога, но несколько подтормаживает ПК
Sandboxie--песочница, если нет конфликтов с другими защитными ПО, можно оставить.
ThreatFire--лучше удалить, а в Comodo включить HIPS
a-squared Free--на мой взгляд это лишнее, лучше переодически сканировать Куреитом (др.Веб) или AVPTool
panda usb vaccine--лучше отключить в ОС автозапуск (на мой взгляд).
Т.о. лучше оставить NOD 32 и Comodo(антивирусный модуль отключить), отключить "лишний" функционал ОС.
Также рекомендую почитать эти рекомендации: http://virusinfo.info/showthread.php?t=30339
и http://security-advisory.virusinfo.info/
Посмотрите на тесты антивирусов http://www.anti-malware.ru/tests_results
тесты файрволов http://www.matousec.com/projects/pro...ge/results.php
Вывод сделайте сами.

[alex-2]

У Вас установлены (или были установлены, но следы остались) следующие антивирусные продукты:
COMODO
a-squared Free
ThreatFire
Sandboxie
AnVir Task Manager (с элементами контроля запуска)
Lavasoft Ad-Aware Service
Kaspersky Lab
panda usb vaccine
NOD 32
Неудивительно, Что Вы "задыхаетесь" Рекомендую что-то одно оставить.

пожалуйста поясните что в этом списке лишнее ?
комодо-файрволл(без него никак)
а-секьюрити(антимальваре) -великолепно ловит троянов и другую мальрь(получше нода естественно она на эту живность и расчитана)
ThreatFire- это HIPS(не пересекающийся по функционалу с нод,антимальваре программами) прекрасно уживающийся с нодом
Lavasoft Ad-Aware Service(ошибка при установке-снёс программу)почему вы говорите,что она есть в системе?
Kaspersky Lab (это вирус ремовал тул !работал 15 минут назад в безопасном режиме win 32 kript только он нашёл.будет убран завтра .сегодня ещё раз просканирует систему.он не установлен постоянно!)
Sandboxie-всего лишь песочница(у меня нет возможности использовать гостевую учётную запись! мне без него -никак.)
panda usb vaccine-защита флэшки от авторана.расчитана на постоянное присутствие в системе.не конфликтует.заменить ?чем?

В системе,на мой взгляд по одному представителю каждого семейства программ.всё это живёт вместе,дружно уже более месяца и не ссорится меж собой.
как вы предлагаете распорядиться этим хозяйством и почему?
Malwarebytes Antimalware дала такой-же результат как и :

IObit Security 360

|Name|Type|Description|
Disabled.SecurityCenter, Registry Data, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center Value=AntiVirusDisableNotify
Disabled.SecurityCenter, Registry Data, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center Value=FirewallDisableNotify
Disabled.SecurityCenter, Registry Data, HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center Value=UpdatesDisableNotify

сделал лог гмэром ,но файл превышает допустимый лимит загрузки вирусинфо....что дальше?

Добавлено через 8 минут

Убрал юсб вакцину.НОД 32 опять тихо-тихо исчез из диспетчера задач.кто-то его вырубает.как узнать кто?в логе гмэр есть вопросы,как в нём разобраться?
я недавно внимательно ИЗУЧАЛ тесты антивирусов по вашей ссылке.нод - печальный продукт...но мой ноут каспера 10 не выдержал.глюки и зависания регулярные,увы.Мне каспер ОЧЕНЬ нравится ,но .........
удалил ThreatFire и настроил комодо как hips.

[Шапельский Александр]

Сделайте новые логи, удалим остатки

[alex-2]

win 32.krap.w найден каспером.Но думаю есть ещё что-то.Логи сделал.Выкладываю.

НАДЕЮСЬ НА ВАШУ ПОМОЩЬ.

[Шапельский Александр]

Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('TfSysMon');
 DeleteService('TfNetMon');
 DeleteService('TfFsMon');
 StopService('TfFsMon');
 StopService('TfNetMon');
 StopService('TfSysMon');
 SetServiceStart('TfSysMon', 4);
 SetServiceStart('TfNetMon', 4);
 SetServiceStart('TfFsMon', 4);
 DeleteFile('TfSysMon.sys');
 BC_DeleteFile('TfSysMon.sys');
 DeleteFile('C:\WINDOWS\system32\drivers\TfNetMon.sys');
BC_ImportDeletedList;
BC_DeleteSvc('TfSysMon');
BC_DeleteSvc('TfNetMon');
BC_DeleteSvc('TfFsMon');
ExecuteSysClean;
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Сделайте новый лог virusinfo_syscheck.zip и лог MBAM

[alex-2]

логи сделал. проверил malwarebytes на вирустотал:
File test.exe received on 2010.02.18 12:01:14 (UTC)
Current status: finished
Result: 4/41 (9.76%)
Compact
Print results Antivirus Version Last Update Result
a-squared 4.5.0.50 2010.02.18 -
AhnLab-V3 5.0.0.2 2010.02.17 -
AntiVir 8.2.1.170 2010.02.18 -
Antiy-AVL 2.0.3.7 2010.02.18 -
Authentium 5.2.0.5 2010.02.18 -
Avast 4.8.1351.0 2010.02.18 -
AVG 9.0.0.730 2010.02.18 -
BitDefender 7.2 2010.02.18 -
CAT-QuickHeal 10.00 2010.02.18 (Suspicious) - DNAScan
ClamAV 0.96.0.0-git 2010.02.18 -
Comodo 3980 2010.02.18 -
DrWeb 5.0.1.12222 2010.02.18 -
eSafe 7.0.17.0 2010.02.17 -
eTrust-Vet 35.2.7310 2010.02.18 -
F-Prot 4.5.1.85 2010.02.17 -
F-Secure 9.0.15370.0 2010.02.18 -
Fortinet 4.0.14.0 2010.02.15 -
GData 19 2010.02.18 -
Ikarus T3.1.1.80.0 2010.02.18 -
Jiangmin 13.0.900 2010.02.18 -
K7AntiVirus 7.10.976 2010.02.17 Trojan.Win32.Malware.1
Kaspersky 7.0.0.125 2010.02.17 -
McAfee 5895 2010.02.17 -
McAfee+Artemis 5895 2010.02.17 -
McAfee-GW-Edition 6.8.5 2010.02.18 -
Microsoft 1.5406 2010.02.18 -
NOD32 4876 2010.02.18 -
Norman 6.04.08 2010.02.18 -
nProtect 2009.1.8.0 2010.02.18 -
Panda 10.0.2.2 2010.02.17 -
PCTools 7.0.3.5 2010.02.17 -
Prevx 3.0 2010.02.18 -
Rising 22.34.01.03 2010.02.11 -
Sophos 4.50.0 2010.02.18 -
Sunbelt 5684 2010.02.18 -
Symantec 20091.2.0.41 2010.02.18 Reser.Reputation.1
TheHacker 6.5.1.4.198 2010.02.18 -
TrendMicro 9.120.0.1004 2010.02.18 PAK_Generic.001
VBA32 3.12.12.2 2010.02.16 -
ViRobot 2010.2.18.2192 2010.02.18 -
VirusBuster 5.0.21.0 2010.02.18 -
Additional information
File size: 2048 bytes
MD5 : 94a920734d463682fbec815cde097e05
SHA1 : e7e1530abcf6f36ede3df31f27fff6d0cf565c22
SHA256: c3677758ef56153ec29504c3290cb5b6ceb8fd0a3c93531634 f189c90ce213ea
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x401034
timedatestamp.....: 0x4868A44C (Mon Jun 30 11:15:56 200
machinetype.......: 0x14C (Intel I386)

( 3 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x19C 0x200 4.55 dea8cb4d2000518d6dd1e4e0ec4dd9ef
.rdata 0x2000 0x138 0x200 2.90 d7d6ac63370ed189c36fbe3a2cd452c1
.data 0x3000 0x409 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

( 0 imports )


( 0 exports )
TrID : File type identification
Win32 Executable Generic (42.3%)
Win32 Dynamic Link Library (generic) (37.6%)
Generic Win/DOS Executable (9.9%)
DOS Executable Generic (9.9%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)
ssdeep: 24:etGSpio5qm69oVT8PdJdTAQvRdoBq/IA:6pPkm2LPTd7doBq/
sigcheck: publisher....: n/a
copyright....: n/a
product......: n/a
description..: n/a
original name: n/a
internal name: n/a
file version.: n/a
comments.....: n/a
signers......: -
signing date.: -
verified.....: Unsigned
PEiD : -
CWSandbox: http://research.sunbelt-software.com...ec815cde097e05
RDS : NSRL Reference Data Set
-
ничего не удалял !!
жду Ваш приговор.

[Шапельский Александр]

Пришлите файл по правилам--http://virusinfo.info/showthread.php?t=4567
Надо проверить, может, ложное срабатывание, или наоборот--зловред.

[alex-2]

Закачать файл
Имейте совесть, читайте правила!!!
Здесь закачивать только подозрительные файлы запрошенные хелперами в теме! Не нужно закачивать через эту форму логи. Логи прикреплять к сообщениям в теме.
Разрешена загрузка только архивных файлов с расширением zip.
Архивы должны быть созданы с паролем "virus" !!!
Ссылка на тему:
Файл:

http://virusinfo.info/showthread.php...815#post589815
"C:\Documents and Settings\Администратор\Рабочий стол\карантин авз\virus.zip"

что я делаю не так ?

Ошибка загрузки.
Не указана ссылка на тему. Должен быть линк вида http://virusinfo.info/showthread.php?t=XXXX на существующую тему на форуме

[Шапельский Александр]

Ошибка загрузки.
Не указана ссылка на тему. Должен быть линк вида http://virusinfo.info/showthread.php?t=XXXX на существующую тему на форуме

Вместо ХХХХХ вставьте 71649

[alex-2]

ФАЙЛ ЗАКАЧАН !!!

ЖДУ !

[миднайт]

Присланные файлы не зловреды.

[alex-2]

СПАСИБО ВАМ !

[Шапельский Александр]

СПАСИБО ВАМ !

Пожалуйста!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены