Спасибо Зайцеву!

Хочу поделиться с народом моей историей.

Я обыкновенный пользователь, столкнулся с тем, с чем сталкивается каждый человек пользующийся Internet - вирусы!
Ситуация следующая – Internet Explorer 6.0, старый Norton и Firewall от Agnitum.
И вот однажды началось - при загрузке стартовой страницы Explorer вместе с ней загружает ещё несколько: какую-то порнушку, буржуйский магазин и много ещё чего.
При переходе по ссылкам опять же грузилась разная дрянь - работать стало невозможно.
Иногда мышка переставала функционировать, иногда компьютер издавал различные непотребные звуки – всё это очень напрягало.
Я понял – ещё чуть-чуть и комп крякнет.
Приобрёл Антивирус Касперского Personal Pro 5.0.156 и Panda Platinum и обновил
Firewall - поставил пробную версию Agnitum Outpost Firewall ver.2.1.
Сначала проверил Касперским – убил пять троянов, затем просканировал Pandой – ничего не найдено.
Бил в ладоши пока не обновил антивирусные базы – в Temporary Internet Files нашелся TrojanDownloader.JS.Psyme.w, и Касперский ничего сделать с ним не может.
Начал искать в Сети информацию по вирусам данного вида. По какой-то ссылке зашёл на сайт z-oleg.com., как будто там есть утилита убивающая TrojanDownloader.
Нахожу утилиту avz-1.05 – качаю без особой надежды (халява она и есть халява), открываю, и вижу – информационное поле, как в карточной игре “1000”, инсталяшки нету, “Помощи” практически нет – что за антивирус такой?!
Очень расстроился! Ну что делать – запускаю программу. Через несколько минут вылез отчёт, не читая его (большая ошибка) я удаляю программу и вырубаю комп.
На следующий день проверяю Касперским Мой компьютер, в надежде что
TrojanDownloader сам помер, удивляюсь слыша звук окончания проверки, а не мерзкое ржание сдыхающей кобылы, которое означает наличие вируса.
Смотрю отчёт - “обнаружено вирусов-0”.
Ну, всё думаю - надо нести сдавать системник на лечение.
Ещё один шанс – перезагрузка, Касперский, и снова - “обнаружено вирусов-0”.
Минут десять думаю, от чего же помер TrojanDownloader.JS.Psyme.w, не от сквозняков же!
Потом вспоминаю про невзрачную утилиту avz.
Всё восстанавливаю и запускаю маленький антивирус, с галкой напротив “Удалять найденные вирусы”. Смотрю отчёт – найдено и успешно удалены 8 (!) вирусов.
Вот они:
c:\Program Files\FlashGet\BACKUP\cd_install277.exe>>>>> Вирус !! AdvWare.Cydoor успешно удален
c:\WINDOWS\SYSTEM32\CD_CLINT.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
c:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx>>>>> Вирус !! AdvWare.MediaTickets успешно удален
c:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF>>>>> Вирус !! AdvWare.MediaTickets успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP74\A0076441.inf>>>>> Вирус !! TrojanDownloader.Win32.Small.or успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP146\A0096793.dll>>>>> Вирус !! Spy.SAHAgent успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP155\A0097187.exe>>>>> Вирус !! AdvWare.Cydoor успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP155\A0097188.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
Просканировано файлов: 19822, найдено вирусов 8


Я немного не в себе – Касперский ничего не обнаруживал, а avz-1.05 нашёл и убил 8 вирусов.
Я не могу объяснить, почему при первом сканировании не были удалены эти 8 вирусов, но факт остаётся фактом – в дальнейшем ни Касперский, ни avz-1.05 ничего не обнаруживали.
Сначала думал Касперский не пашет – загрузил тестовый вирус с сайта eicar.com, и проверил Касперским – тот нашёл и убил все тестовые вирусы, выходит Касперский работает.
Остаётся поверить в то, что антивирусная утилита avz-1.05 весом около 400 (кб) способна обнаруживать и успешно удалять вредоносные программы, которые не обнаруживает Антивирус Касперского Personal Pro 5.0.
Ещё раз хочу сказать, что я не являюсь специалистом в области компьютерной безопасности, может быть, я много не понимаю или мои действия были неадекватны, но по прошествии 2-х суток обе программы не обнаруживают ни каких вредоносных программ (постучим по дереву)!

И за это хочется сказать большое человеческое СПАСИБО Зайцеву Олегу!

P.S. Пользуясь случаем хотелось задать несколько вопросов , может быть Вы (или участники) мне сможете пояснить:

-***почему Касперский не обнаружил эти 8 вирусов?
-***когда avz-1.05 проверяет систему, в отчёте пишется, что просканировано около 20000 файлов, однако Касперский проверяет около 127000 объектов, почему такая большая разница?
-***когда Касперский проверяет систему, несколько файлов (около 40 шт.) защищены паролем, и доступа к ним нет, т.е. они не проверяются, хотя я ни каких паролей не ставил и первый раз слышу о таких файлах, файл выглядит так: C:\Documents and Settings\All Users\Application Data\Spybot-Search & Destroy\Recovery\DSOExploit13.zip\sbRecovery.reg, не подскажите, что это?
-***я скачал Вашу утилиту aps – сразу же возникло несколько вопросов:
- - может ли aps корректно работать вместе с Agnitum Outpost Firewall;
- - что предпочтительней – aps или Agnitum Outpost Firewall, на Ваш взгляд и
можно ли их сравнивать в принципе?
-*** последний вопрос по Firewall : с вирусами кажется разобрался, но нехорошие сайты как грузились, так и грузятся, в настройках есть закладка “Содержимое”,
блокировал и по адресу, и по содержимому – помогло мало, сайты
загружаются, только на некоторых ссылка – содержимое не отображается из-за
настроек, может есть смысл переустановить Firewall?
а если поставить Opera вместо IE, как вы думаете?

Спасибо всем, кто дочитал до конца это длиннющее послание, отдельное спасибо тем кто ответил на мои вопросы.

Михаил.

от ad-aware поставь расширенные базы касперскому , а лучше пользуйся ad-aware Se и Spybot S&D ;D

от ad-aware поставь расширенные базы касперскому , а лучше пользуйся ad-aware Se и Spybot S&D ;D

И всё это может не помочь ;)
Касперу, кстати, Олег отправил наверное не одну сотню неизвестных ему "зверей" :) Ну и я пару десятков тоже.

И всё это может не помочь ;)
Касперу, кстати, Олег отправил наверное не одну сотню неизвестных ему "зверей" :) Ну и я пару десятков тоже.

254 штуки (плюс/минус 10) :) Но SpyWare я ему посылаю редко, как правило я шлю ему именно троянов, Backdoor ... то, что действительно опасно

P.S. Пользуясь случаем хотелось задать несколько вопросов , может быть Вы (или участники) мне сможете пояснить:

1.***почему Касперский не обнаружил эти 8 вирусов?
2.***когда avz-1.05 проверяет систему, в отчёте пишется, что просканировано около 20000 файлов, однако Касперский проверяет около 127000 объектов, почему такая большая разница?
3.***когда Касперский проверяет систему, несколько файлов (около 40 шт.) защищены паролем, и доступа к ним нет, т.е. они не проверяются, хотя я ни каких паролей не ставил и первый раз слышу о таких файлах, файл выглядит так: C:\Documents and Settings\All Users\Application Data\Spybot-Search & Destroy\Recovery\DSOExploit13.zip\sbRecovery.reg, не подскажите, что это?
4***я скачал Вашу утилиту aps – сразу же возникло несколько вопросов:
4.1 может ли aps корректно работать вместе с Agnitum Outpost Firewall;
4.2 что предпочтительней – aps или Agnitum Outpost Firewall, на Ваш взгляд и можно ли их сравнивать в принципе?
4.3*** последний вопрос по Firewall : с вирусами кажется разобрался, но нехорошие сайты как грузились, так и грузятся, в настройках есть закладка “Содержимое”,
блокировал и по адресу, и по содержимому – помогло мало, сайты
загружаются, только на некоторых ссылка – содержимое не отображается из-за
настроек, может есть смысл переустановить Firewall?
а если поставить Opera вместо IE, как вы думаете?

Спасибо всем, кто дочитал до конца это длиннющее послание, отдельное спасибо тем кто ответил на мои вопросы.

Отвечаю по пунктам - я для этого им номера расставил
1. Это вопрос к Касперскому, особенно по поводу TrojanDownloader. AdvWare с нормальной базой он не ловит, а вот TrojanDownloader - обязан
2. AVZ проверяет только файлы, расширение которых задано в его базе (exe, dll, cab, htm/html, sys ...), AVP проверяет все. Кроме того, AVZ не проверяет содержимое архивов - это объясняет разницу в количестве проверенных файлов
3. Это файл, защищенный паролем. Многие разработчики ПО наивно полагают, что можно "секретные" данные держать в архиве типа zip (или иного распространенного формата) с паролем, чтобы их никто оттуда не извлек :). Отсюда и запароленные архивы (в данном примере Spybot-Search & Destroy именно так и поступает - он хранит некие данные в архиве zip под паролем)
4.1 Да, может - это же по сути ее основное назначение
4.2 FAQ по APS - http://z-oleg.com/secur/aps-faq.htm - там первой позицией стоит "Может ли утилита APS заменить Firewall" :) Но я повторюсь - это очень важно - НЕТ, не может APS - это имитатор сервиса, автоответчик. Он слушает наиболее часто атакуемые порты и имитирует ответы сервисов (как правило просто посылкой типовой сигнатуры или бредутины). При нармально работающем Firewall APS должен молчать, если он вопит - это сигнал о том, что Firewall не работает или неправильно настроен ...
4.3 Тут Firewall особенно помочь не может ... единственный способ избежать загрузки нехорших сайтов - это не ходить на них :) Главная задача Firewall - защитить компьютер от доступа извне и разрешить обмен с сетью определенным программмам и только по разрешенным портам.

Олег, скажите пожалуйста, я пытаюсь скачать вашу утилиту AVZ-1.05, по ссылкам в кадете, но не могу, может потому, что у меня стоит Opera, когда нажимаешь КАЧАТЬ. он просто выдает, что нельзя найти такой адрес.Может можно как то еще?
У меня стоит Outpost, AntiVir, но чувствую, что маловато,надо проверить, в свое время у меня был взлом и накидали кучу дерьма, что комп просто отказал. Пришлось все делать заноаво. Я только пользователь, но обучающийся. Буду очень благодарна. Nika.

Олег, скажите пожалуйста, я пытаюсь скачать вашу утилиту AVZ-1.05, по ссылкам в кадете, но не могу, может потому, что у меня стоит Opera, когда нажимаешь КАЧАТЬ. он просто выдает, что нельзя найти такой адрес.Может можно как то еще?

Так ссылка не на программу там, а на сайт. Нужно сначала зайти сюда http://z-oleg.com/secur/avz.htm а там уже скачать последнюю версию :)

Geser, так я выхожу на это, когда нажимаю - качать
372кб, то мге ответ, в виде табличке , что программа не найдена. Что делать? Получается замкнутый круг. спасибо.

Geser, так я выхожу на это, когда нажимаю - качать
372кб, то мге ответ, в виде табличке , что программа не найдена. Что делать? Получается замкнутый круг. спасибо.

Очень странно. У всех скачивается ???
Ок, возьми тут http://www.virusinfo.info/tmp/avz.zip

Geser, большущее спасибо, получилось, просканировала - вот ответ, это нормально?
Сканирование запущено в 15.11.2004 10:29:15
В базе 6443 сигнатур вирусов
1. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 294
Проверка памяти завершена
2. Сканирование диска
c:\Program Files\WinRAR\Rar.exe.bak - PE файл с нестандартным расширением
c:\Program Files\WinRAR\WinRar.exe.bak - PE файл с нестандартным расширением
c:\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением
Просканировано файлов: 10463, найдено вирусов 0
Сканирование завершено в 15.11.2004 10:33:06
С уважением Nika. P.S.еmail от Вас?

Geser, большущее спасибо, получилось, просканировала - вот ответ, это нормально?
Сканирование запущено в 15.11.2004 10:29:15
В базе 6443 сигнатур вирусов
1. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 294
Проверка памяти завершена
2. Сканирование диска
c:\Program Files\WinRAR\Rar.exe.bak - PE файл с нестандартным расширением
c:\Program Files\WinRAR\WinRar.exe.bak - PE файл с нестандартным расширением
c:\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением
Просканировано файлов: 10463, найдено вирусов 0
Сканирование завершено в 15.11.2004 10:33:06
С уважением Nika. P.S.еmail от Вас?

По поводу предупреждений это вопрос к Олегу.
еmail от меня, но там атчмент зарезал почтовый антивирус фирмы. Файл ему чем-то не понравился.

Geser, спасибо. Nika. :D

Geser, большущее спасибо, получилось, просканировала - вот ответ, это нормально?
Сканирование запущено в 15.11.2004 10:29:15
В базе 6443 сигнатур вирусов
1. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 294
Проверка памяти завершена
2. Сканирование диска
c:\Program Files\WinRAR\Rar.exe.bak - PE файл с нестандартным расширением
c:\Program Files\WinRAR\WinRar.exe.bak - PE файл с нестандартным расширением
c:\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением
Просканировано файлов: 10463, найдено вирусов 0
Сканирование завершено в 15.11.2004 10:33:06
С уважением Nika. P.S.еmail от Вас?

Это означает, что используется "активированные" Windows XP SP1 и WinRar :) Просто AVZ видит PE файлы со странными именами и информирует об этом пользователя. Опасности это не представляет

Олег, спасибо, успокоили и спасибо за хорошую утилиту, она мне понравилась, и проста в обращении - это для таких чайников, как я, но качественно! :D

Хочу выразить благодарность Олегу за его разработку. Не далее как 5мин. назад изящно почистил комп. работника. (некий WinAd.....). Спасибо. При появлении коммерческого продукта - готовы рассмотреть вопрос о сотрудничестве.

просканировав комп SpyBot, он мне выдал :
1. Ошибка во время проверки:Cabrotor(Datei C:\WINDOWS\win.ini kann nicht geoffnet werden. Процесс не может получить доступ к файлу, т.к. этот файл занят другим процессом)
2.DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-21-1993962763-2077806209-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3

DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\0\1004!=W=3

Но что интересно, если нахожу, то версии до ...\1003 и все, дальше ничего нет, пробую по- другому найти, как только набираю HKEY...., сразу пишет комп, что нет доступа и файл нельзя открыть, объясните пож, что это может быть? Спасибо. Nika.***

Причину этой проблемы с DSO Exploit уже называли здесь: http://virusinfo.info/index.php?board=22;action=display;threadid=237


Под данную дыру существовал эксплойт (ссылку на него не помню, см. надо в Informations Available SpyBoot'а рядом с обнаруженным эксплойтом). На пропатченой Wind'е эксплойт не работает. SpyBoot будет ругаться до тех пор, пока вручную не удалить записи в реестре.


Я вижу 2 варианта решения проблемы с DSO Exploit :
1. Зайти в редактор реестра и изменить там соответствующие значения. (не рекомендуется неопытным пользователям)

2. Скачать рег. файл DSOfix.reg, который я только что написал для решения Вашей проблемы. Просто запустите его и добавьте информацию оттуда в реестр. Скачать его можно здесь (http://webtemplates.com.ua/files/uploads/DSOfix.reg). После этого SpyBot должен перестать ругаться на наличие DSO Exploit.

kps, спасибо. Я зашла в реестре (первый раз) и удалила по ссылкам этот \1004\ и четырех дерикториях, а в пятой он пропал сам, и поставила заплатку. После этого Спайбот перестал ругаться. С вами я научусь грамотно работать. Еще раз большое всем спасибо.У вас,действительно, очень полезный и помогающий сайт.Nika.

Привет!
Установила Ad-aware проверилась и один файл вылез:
Windows Vulnerability HKEY_CLASSES_ROOT:regfile\shell\open\command
"" (""regedit.exe" "%1")
Удалять боюсь. Что за адрес?

Привет!
Установила Ad-aware проверилась и один файл вылез:
Windows Vulnerability HKEY_CLASSES_ROOT:regfile\shell\open\command
"" (""regedit.exe" "%1")
Удалять боюсь. Что за адрес?

Ерунда все это ... указанный ключ является совершенно стандартным для системы ключом реестра, удалять его нельзя (он связывает файлы с расширением reg с редактором реестра)

Ерунда все это ... указанный ключ является совершенно стандартным для системы ключом реестра, удалять его нельзя (он связывает файлы с расширением reg с редактором реестра)

Не может быть. Ad-aware никогда зря не ругался. Пользуюс им почти год уже.

Не может быть. Ad-aware никогда зря не ругался. Пользуюс им почти год уже.

Все может быть :)
HKEY_CLASSES_ROOT\regfile\shell\open\command обязан содержать параметр по умолчанию "regedit.exe "%1"". Что собственно и описано ниже. Стандартный ключ, присутствует во всех версиях Windows ...

Все может быть :)
HKEY_CLASSES_ROOT\regfile\shell\open\command обязан содержать параметр по умолчанию "regedit.exe "%1"". Что собственно и описано ниже. Стандартный ключ, присутствует во всех версиях Windows ...

Ну у меня же не ругается.

Ну у меня же не ругается.

У меня - тоже не ругается, я специально проверил.
Тогда встречный вопрос - а это точно Ad-aware с последним реф-листом ??
я для опыта вообще забил в этот ключ "hacker.exe" - ad-aware 6.0 с последним рефлистом молчит, как партизан

У меня - тоже не ругается, я специально проверил.
Тогда встречный вопрос - а это точно Ad-aware с последним реф-листом ??
я для опыта вообще забил в этот ключ "hacker.exe" - ad-aware 6.0 с последним рефлистом молчит, как партизан


Так уже давно SE на дворе.

Скажите пожалуйста, как часто надо обновлять утилиту AVZ и как это сделать, я что-то не очень поняла, короче объясните пожалуйста для чайников.Заранее спасибо. Nika.

Скажите пожалуйста, как часто надо обновлять утилиту AVZ и как это сделать, я что-то не очень поняла, короче объясните пожалуйста для чайников.Заранее спасибо. Nika.

Обновлять просто - в составе avz два файла - собственно сам сканер avz.exe и его база с описаниями вирусов - base.avz. Для обновления нужно скачать последний апдейт, распавокать его (там собственно будет единственный файл base.avz) и сбросить его в ту-же папку, что и avz.exe. Обновление базы ведется почти ежедневно (но не реже чем раз в 3-4 дня), поэтому периодичность можно выбирать по желанию ...

Так уже давно SE на дворе.

У меня просто только 6.0 был под рукой - сейчас я достал из архива и инстальнул SE - она дает больше предупреждений и делает больше проверок ... так вот в SE есть баг - если ключ HKEY_CLASSES_ROOT\regfile\shell\open\command содержит хотя-бы один пробел (между regedit.exe и "%1", или после строки), то он считает это как Windows Vulnerability ...
Следовательно, в обсуждаемой сутуации скорее всего компьютер был заражен чем-то типа Swen, при лечении антивирус восстановил ключ, но не выдержал количестов пробелов :) отсюда и ругательства SE

У меня просто только 6.0 был под рукой - сейчас я достал из архива и инстальнул SE - она дает больше предупреждений и делает больше проверок ... так вот в SE есть баг - если ключ HKEY_CLASSES_ROOT\regfile\shell\open\command содержит хотя-бы один пробел (между regedit.exe и "%1", или после строки), то он считает это как Windows Vulnerability ...
Следовательно, в обсуждаемой сутуации скорее всего компьютер был заражен чем-то типа Swen, при лечении антивирус восстановил ключ, но не выдержал количестов пробелов :) отсюда и ругательства SE

Я думаю можно пролечить. Они же наверное не удаляют ключь а восстанавливают.

Я думаю можно пролечить. Они же наверное не удаляют ключь а восстанавливают.

Именно - я поставил опыт - он восстановит ключ в том виде, какой он считает правильным. При этом правильным он считает именно "родной" для Windows вариант написания, так что можно пролечить - это исключит ложные срабатывания на этом ключе в будущем

Олег,спасибо, сейчас попробую сделать, но я скачала и AVZ200 betta версию и поставила, как второй, дополнительно к первой утилите. Или этого не надо было делать? Но вторая мне понравилась больше, она понятнее. Что посоветуете? Спасибо.Nika.

Олег,спасибо, сейчас попробую сделать, но я скачала и AVZ200 betta версию и поставила, как второй, дополнительно к первой утилите. Или этого не надо было делать? Но вторая мне понравилась больше, она понятнее. Что посоветуете? Спасибо.Nika.

К AVZ200 betta - это тестовая версия - так AVZ будет выглядеть через 1-2 недели. Но к нему не подходят обновления от старого AVZ - это пока тестовая версия, ее нужно тестировать и критиковать :)

Олег,тестировать это можно (я пока ее оставлю, а через 2-3 недели установлю заново), старую попробую обновить, ну а насчет критики.... для меня это очень сложно, я не волшебник, а только учусь. Читаю весь форум - и учусь. А вообще спасибо ВСЕМ вам за этот сайт. По-моему один из самых толковых и действенных. Удачи всем вам. Nika.

По вашей инструкции я обновила AVZ 1.05 - получилось. Только вначале не могла скачать с вашего,Олег, сайта ( у меня Opera), пока не догадалась перейти на IE, там все получилось. Еще раз спасибо.Nika.

По вашей инструкции я обновила AVZ 1.05 - получилось. Только вначале не могла скачать с вашего,Олег, сайта ( у меня Opera), пока не догадалась перейти на IE, там все получилось. Еще раз спасибо.Nika.


А вот не нужно вводить в заблуждение - нет таких проблем. С Оперой всё работает, всё качается.

Тогда почему у меня на Опере выскакивает все время табличка программа не найдена? Nika.

По вашей инструкции я обновила AVZ 1.05 - получилось. Только вначале не могла скачать с вашего,Олег, сайта ( у меня Opera), пока не догадалась перейти на IE, там все получилось. Еще раз спасибо.Nika.


В Опере есть такая опция - "прикидываться" IE.
Чтобы ее включить: зайдите в Опере в меню "Файл" -> Быстрые настройки -> идентифицировать как MSIE 6.
тогда в основном с тем, что в ИЕ правильно работает, не будет проблем и в Опере.

kps, сделала, поставила галочку на MSIE6, но все равно, выхожу на сайт, нажимаю на СКАЧАТЬ - табличка "Прграмма не найдена" и это не только здесь, но и в некоторых других прогах, перехожу на IE - все впорядке. Ничего не пойму. Nika.

Скажите пожалуйста как избавиться от W97M/VMPCK1.EC, какой программой можно его уничтожить? AntiVir его распознал, но не удалил. Это комп моих знакомых,пыталась поставить хоть что-то, удалось только антивир и то вначале не хотел запускать. Я могу сначала скачать на свой комп,а потом поставить на их комп, только что ставить? Этих вирусов там около тысячи. С их компа на ваш сайт я зайти не смогла. Помогите пожалуйста.Заранее спасибо.Nika.

Скажите пожалуйста как избавиться от W97M/VMPCK1.EC, какой программой можно его уничтожить? AntiVir его распознал, но не удалил. Это комп моих знакомых,пыталась поставить хоть что-то, удалось только антивир и то вначале не хотел запускать. Я могу сначала скачать на свой комп,а потом поставить на их комп, только что ставить? Этих вирусов там около тысячи. С их компа на ваш сайт я зайти не смогла. Помогите пожалуйста.Заранее спасибо.Nika.

есть специальный раздел , гесер красными буквами написал специально вверху !
а вообще если всё так запущено , сноси все антивирусы и поставь каспеского . даже бесплатно и абсолютно легально можно месяц попользоваться .

Хорошо, drongo, завтра попробую у них,потом сообщу что и как.Спасибо.Nika.

Касперским ...227, искал шпионов не нашел а по вашему совету поставил AVZ который сразу обнаружил
c:\WINDOWS\SYSTEM\sporder.dll>>>>> Вирус !! Spy.SAHAgent успешно удален

в свойствах:
Dateiversion: 5.00.1641.1
Firma: Microsoft Corporation
Interner Name: sporder.dll
Originaldateiname: sporder.dll
Produktname: Microsoft(R) Windows NT(R) Operating System
Produktversion: 5.00.1641.1
Schprache: Englisch (USA)

была еще Панда правда после обновления, cydoor нашла и удалила,но этот не видела.. Пробовал и Нортоном ничего
Может поэтому и не находят этот файл антивирусники .....

skap, а у каспера какие базы были ? он с extended видеть .

Базы обновления стандартные , расширенные не решился ставить,обновил 28.12.04 ,касперский 5.0.227...
да вопрос еще возник я ад-аваре запустил. а он мне кучу MPU файлов выдал , что это за файлы и с чем их едят :) стоит ли их удалять ? могу их здесь показать но их больше 30 я приведу несколько для примера
#:1 [KERNEL32.DLL]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4279218715
Threads : 4
Priority : High
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Операционная система Microsoft® Windows®
CompanyName : Корпорация Microsoft
FileDescription : Компонент ядра Win32
InternalName : KERNEL32
LegalCopyright : © Корпорация Microsoft, 1991-1999
OriginalFilename : KERNEL32.DLL

#:2 [MSGSRV32.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294935907
Threads : 1
Priority : Normal
FileVersion : 4.10.2222
ProductVersion : 4.10.2222
ProductName : Операционная система Microsoft® Windows®
CompanyName : Корпорация Microsoft
FileDescription : Сервер сообщений 32-разрядных драйверов виртуальных устройств (VxD) Windows
InternalName : MSGSRV32
LegalCopyright : © Корпорация Microsoft, 1992-1998
OriginalFilename : MSGSRV32.EXE

#:3 [MPREXE.EXE]
FilePath : C:\WINDOWS\SYSTEM\
ProcessID : 4294963955
Threads : 2
Priority : Normal
FileVersion : 4.10.1998
ProductVersion : 4.10.1998
ProductName : Microsoft(R) Windows(R) Operating System
CompanyName : Microsoft Corporation
FileDescription : WIN32 Network Interface Service Process
InternalName : MPREXE
LegalCopyright : Copyright (C) Microsoft Corp. 1993-1998
OriginalFilename : MPREXE.EXE

Касперским ...227, искал шпионов не нашел а по вашему совету поставил AVZ который сразу обнаружил
c:\WINDOWS\SYSTEM\sporder.dll>>>>> Вирус !! Spy.SAHAgent успешно удален

в свойствах:
Dateiversion: 5.00.1641.1
Firma: Microsoft Corporation
Interner Name: sporder.dll
Originaldateiname: sporder.dll
Produktname: Microsoft(R) Windows NT(R) Operating System
Produktversion: 5.00.1641.1
Schprache: Englisch (USA)

была еще Панда правда после обновления, cydoor нашла и удалила,но этот не видела.. Пробовал и Нортоном ничего
Может поэтому и не находят этот файл антивирусники .....

По поводу классификации sporder.dll вопрос спорный - этот файл сам по себе не опасен (я кстати подумываю исключить его из баз), но его скрытно ставит целый ряд SpyWare. В поставку операционной системы он не входит. Ряд AntiSpyware программ убивает его, антивири на него как правило не реагируют.

Сейчас не опасный, завтра станет опасным . Не исключай, пусть будет :) А на счет MPU LIST... мне их удалять или оставлять .. не настолько я силен пока, чтоб самостоятельно решить как быть .. Я просто запутался ... где одно говорят, где другое ...
Да еще .. я решил касперского снести и попробовать zone alarm security suite, я еще учусь и пробую все подряд, так вот, снес, установил, перезагрузился и запустил все программы поочереди .. (прогнал антивирусником зоне аларм , потом спуботом , затем ад аваре, потом avz ) в порядке очереди 1:0 , 2 :1 (cydoor)написал после удаления - шпионов не обнаружено. ,3:2 (категория data miner,кукисы оба.ну и 30 MPU LIST),4:0..
Интересно я же в инет не выходил .. откуда cydoor взялся?((

Интересно я же в инет не выходил .. откуда cydoor взялся?((

cydoor ставится с разным ПО, которое желает с его помощью крутить рекламу за деньги. Я чаще всего наблюдал cydoor после установки FlashGet ... короче говоря, что-то было установлено (может кодек какой, ScreenSaver ...). При этом cydoor не автономен - он является DLL, которая должна запускаться желающей крутить рекламу программой. Следствие - можно легко вычислить, какой процесс ее использует (при помощи ProcessExplorer от www.sysinternals.com)
А вот "MPU LIST" я бы не трогал ... - судя по всему это просто перечисление запущенных процессов на момент сканирования

Спасибо ! Мне нравится у вас .. всем своим посоветую..

я ад-аваре запустил. а он мне кучу MPU файлов выдал , что это за файлы и с чем их едят :) стоит ли их удалять ?

Вы привели начало лога. В нем вначале указывается список запущенных процессов- их трогать не надо. А далее идет MRU LIST- это список ссылок на последние открывавшиеся файлы в разных установленных у вас программах. В принципе их можно удалить, Непонятно, почему Авторы AD Aware считают их опасными -с моей точки зрения особой опасности они не несут.

Cпасибо за разьяснение .. удалил все mpu listы ничего не произошло катострофического .. :)