Symantec AntiVirus постоянно находит вирусы W32.Small.gen и Spyware.EliteKeylogger

**ULVER** · 14.04.2007, 17:43

Добрый день.

Проблема в том, что Symantec AntiVirus постоянно находит вирусы W32.Small.gen и Spyware.EliteKeylogger. Началось это пару дней назад некоторые из файлов он поместил в карантин, но все равно постоянно при каждом включении компьютера через некоторое время после включения запускаеться автоматическое сканирование и блокируется большое количество файлов (до 3-5-ти файлов в минуту, иногда 1 за 30 минут разброс очень большой) для вируса W32.Small.gen с названиями файлов (APQ49C.tmp, APQ245.tmp и т.д.) которые находятся в папке c:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\; для вируса Spyware.EliteKeylogger файлы называются А0042360.sys, A0042361.sys и т.д. находяться они в папке C:\System Volume Information\_restore{9C85AA36-1578-4F1C-9142-9776CB28073B}\RP83\. Так же программа Symantec обнаружила вирус Trojan.Startpage в папке C:\Program Files\Ace Utilities\ но я так поняла, что он был удален потому, что больше не появлялся в течении нескольких дней.
При глубоком анализе программа ничего не находит, находит только автоскан. Так же проверила вашей утилитой drweb-cureit она ничего не нашла. Эти вирусы видимых проблем не приносят, но не понятно, что будет дальше.
Все сделала как в инструкции, файлы прикрепила. Заранее благодарю за ответ и помощь.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 14.04.2007, 21:49

Возможно ничего интересного, но всё же
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\Trident Software\Pragma\ptbar.dll','');
 QuarantineFile('C:\WINDOWS\system32\OrfoCalls.dll','');
 QuarantineFile('C:\Program Files\Secure PC Solutions\1 Click Fixer PLUS\BootCheck.exe','');
RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=8997........

P.s.То что в System Volume Information убивается отключением службы восстановления . У вас бы не было этого вопроса, если бы выполнили в точности правила. Совет: Читайте пункт 7 с лупой

.

**ULVER** · 15.04.2007, 09:29

Файл закачала. А это нормально, что после выполнения скрина комп перезагружался?

**ULVER** · 15.04.2007, 09:37

А забыла сказать, я пункт 7 с лупой читала, но видимо не поняла, что у меня какие-то программы все равно работают или просто не смогла их отключить. Так, что извините, вот.

**Синауридзе Александр** · 15.04.2007, 21:09

Сообщение от ULVER

Файл закачала. А это нормально, что после выполнения скрина комп перезагружался?

Это не скрин - это скрипт.

Да нормально. В скрипте который Вам написал drongo в конце идет перезагрузка.

**Numb** · 16.04.2007, 11:37

Присланные файлы - чистые. Файл C:\Program Files\Trident Software\Pragma\ptbar.dll в карантин не попал. Попробуйте поискать его и добавить в карантин вручную, как написано здесь. Как отключить восстановление системы, можно почитать здесь. Попутно, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\PROGRA~1\HDTUNE~1\HDTune.exe','');
RebootWindows(true);
end.

Система будет перезагружена. После перезагрузки, загрузите карантин AVZ по ссылке http://virusinfo.info/upload_virus.php?tid=8997 , как написано в прил.3 правил

**ULVER** · 16.04.2007, 20:30

Добрый день!

Программу Pragma я уже удалила выяснилось, что она мне не нужна и соответственно тот файл я не могу поместить в карантин, да наверное это уже и не нужно теперь после удаления. Я не совсем поняла зачем выключать восстановление системы я думала это нужно только на момент выполнения скриптов? И на момент выполнения инструкций описанных в правилах я тоже его отключала, но потом включала заново. Разве оно должна быть постоянно отключено?
С вирусом Spyware.EliteKeylogger у меня проблем больше не возникало после выполнения ваших инструкций. А с вирусом W32.Small.gen их также не было до того момента как я включила аську, авто скан тут же его обнаружил причем сначала 1 файл в папке C:\Temp а потом как обычно все остальные начали размножаться со скоростью света в папке c:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\ и так как я не могла удалить все файлы находящиеся в папке Temp комп ругался, что нет доступа на их удаление и все такое, то пришлось загрузить ОС с диска Life CD и оттуда все поудалять. После этого при нормальном включении пока больше ничего не находилось, но аську я теперь включать боюсь, вот. Скрипт пришлю в ближайщее время. Я правильно поняла, что при его выполнении нужно отключать восстановление системы и все программы?
Спасибо за то, что пытаетесь помочь

**ULVER** · 16.04.2007, 20:32

Это не скрин - это скрипт.

Да я уже тоже заметила, что, что-то не то. Просто такое слово раньше ни разу не слышала.

**AndreyKa** · 16.04.2007, 22:13

Сделайте так:
При отключенном Интернете запустите ICQ и сделайте лог AVZ из 10-го пункта Правил и приложите сюда.

PS. ICQ закройте до подключения Интернета, а лучше перезагрузите компьютер.

**ULVER** · 17.04.2007, 19:14

Для Numb скрипт отправила.

Для AndreyKa лог сделала с запушенной аськой точнее у меня Miranda, но мне кажется я так и не смогла отключить все программы хотя все поотключала из автозагрузки и еще не могу отключить весь Симантек все равно упорно вылазит окно Auto-Protect Results и начинает - опять находить кучу файлов, что делать то а? Причем я не уверена, что это только из-за аськи вообще не понятно иногда несколько часов ничего, а потом начинается и помогает только если загрузить ОС с диска и все папки на которые он указывает почистить вручную тогда 5-6 часов может быть спокойно, а потом опять что-то происходит вылазит Auto-Protect Results и все начинается с начала

**AndreyKa** · 18.04.2007, 12:12

Для AndreyKa лог сделала с запушенной аськой точнее у меня Miranda

Похоже, Миранда не виновата.

я так и не смогла отключить все программы хотя все поотключала из автозагрузки и еще не могу отключить весь Симантек все равно упорно вылазит окно Auto-Protect Results

Все программы не надо было отключать, а антивирус тем более.
Похоже что у вас не установлены обновления на Windows.
Посетите http://windowsupdate.microsoft.com/ и установите все критические обновления и обновления системы безопасности.

**ULVER** · 18.04.2007, 18:21

Вообще у меня включено уведомление о наличии обновлений и последнии обновления я устанавливала дня 4 назад. Но я все равно зашла на рекомендуемый сайт и проверила у меня все обновления установлены.
И что дальше делать?

меня эта фигня уже замучила. Что это такое и где оно прячется? Почему то ничего не видно, но что то же есть Auto-Protect Results эти файлы до 5 штук в минуту находит, а система в этот момент виснет страшно.

Все программы не надо было отключать, а антивирус тем более.

Но ведь в правилах сказано, что перед выполнением логов нужно закрыть все программы. Я так поняла их нужно отключить? А так как я не знаю как их отключить я просто вырубала их из автозагрузки и перезагружалась, потом включала обратно.

**PavelA** · 18.04.2007, 19:38

Погуглил немного по этому W32.Small.gen. Написали, что встречается в дистрибутивах ReGeta. Можно попробовать его деинсталлировать и посмотреть как себя поведет Симантек.

Про второго ничего похожего на его описание на Вашей машине не видится.

**ULVER** · 18.04.2007, 22:39

Погуглил немного по этому W32.Small.gen. Написали, что встречается в дистрибутивах ReGeta. Можно попробовать его деинсталлировать и посмотреть как себя поведет Симантек.
Про второго ничего похожего на его описание на Вашей машине не видится.

Поняла, спасибо, попробую снести ReGet, а второй больше и не появляется видать скончался.

**ULVER** · 21.04.2007, 22:25

ReGet снесла пока вроде больше ничего не появляется.

**ULVER** · 22.04.2007, 16:21

Рано радовалась

(((( Несколько дней все было нормально, а сегодня решила обновить антивирусник. После обновления баз он предложил полечить те файлы который в карантине, я согласилась и опять началось ........ много много файлов W32.Small.gen. Вот такие дела

**pig** · 23.04.2007, 02:11

Где?

**ULVER** · 23.04.2007, 11:34

Где?

Что где?

Если где файлы? То как обычно все начинается с папки C:\Temp а потом все остальные обнаруживаются в папке c:\Documents and Settings\All Users\Application Data\Symantec\Symantec AntiVirus Corporate Edition\7.5\APTemp\ и их очень, очень много.

**pig** · 23.04.2007, 13:38

C:\Temp - в сеть случайно не расшарена? А вообще откуда и для чего эта папка? По умолчанию её не должно быть.

**ULVER** · 23.04.2007, 17:41

C:\Temp - в сеть случайно не расшарена?

Я не знаю, что такое расшарена в сеть, но видимо нет раз я этого не делала. А это кажется, чтобы кто-то из сети мог из нее что-то брать. Кажется так? Нет я этого точно не делала, в смысле не расшаривала если я правильно поняла о чем речь.

А вообще откуда и для чего эта папка? По умолчанию её не должно быть.

Не знаю откуда вообще странно если ее быть не должно, я ее сама точно не создавала. И я сейчас посмотрела у меня ОС была установлена 16 февраля и соответственно дата создания всех основных папок тоже 16 февраля, а именно этой папки C:\Temp 23 февраля. Это о чем то говорит или нет?!?! Может ее удалить? А вдруг она сама потом создастся?