Консультация о состоянии компьютера.

Добрый День,
Win XP SP2 стоит около 2 лет (не перестанавливал ни разу, критические обновления - устанавливаю), проблем не было.
Чистка ПК от "мусора" - регулярно.
I-Net использую постоянно. За это время поймал штук 10 разной заразы..
Жалоб на меня также не поступало.
Стоит KAV (сейчас 7.0.1.321) - базы обновляются регулярно.
Также стоят и периодически использую (обновляю, естественно - регулярно):
1. Spybot - Search & Destroy (1.5.2.20)
2. AVZ (4.29)
3. Ad-Aware2007
Также стоит ViPNet Personal Firewall (Компания InfoTeCS [URL]http://infotecs.ru/[/URL])

Поскольку стоит "Проверка критических областей" в KAV - ежедневно, вчера - "поросячий визг"- вирус Worm.Win32.AutoRun.cqf Файл: C:\WINDOWS\system32\autorun.exe . Естественно - удалил (в резервное хранилище).
Позже ещё раз проверил "критические области" - чисто,
Проверил Spybot - Search & Destroy - чисто,
Проверил AVZ (4.29) (только C:\WINDOWS с максимальными настройками) - C:\WINDOWS\system32\drivers\GetBinFile.SYS - Trojan-Spy.Win32.Banker.dvp - удалил в карантин.
(я не утверждаю, что KAV - не нашёл, так как были минимальные промежутки между запусками , но такие факты)
Отключил восстановление системы, запустил полную Полную проверку KAV - чисто.
За исключением:
[quote]обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.MSI//Cabs.w1.cab/samdump.dll1
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.MSI//Cabs.w1.cab/pwservice.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.MSI//Cabs.w1.cab/pwservice.exe3
обнаружено: потенциально опасное ПО not-a-virus:AdTool.Win32.WhenU.a Файл: C:\Program Files\DAEMON Tools\SetupDTSB.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2 Файл: C:\Program Files\LCP\Data\pwdump2-orig\samdump.dll
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\LCP\Data\pwdump3\pwservice.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\LCP\Data\pwdump3e\pwservice.exe[/quote]Но это - обнаруживается всегда (я так понимаю - реакция KAV на SAMInside, DAEMON Tools, LCP)

Никаких сбоев/явных проблем с текущими установленными програмами, подозрительного трафика за всё время - не было, нет, и обнаружено не было. (Может быть некоторая "тормознутость" I-Net в последние два-три дня, но это очень субъективно, быть может провайдер/конкретные сайты)

Большая просьба посмотреть прилагаемые файлы на предмет "моих неприятностей" (так у AVZ есть - "предположения")
Так как "система " стоит давно и много что ставилось, убиралось и чистилось.

С Уважением к Вашему нелёгкому труду...

P.S. всё сделал по инструкции -все приложения закрыл, даже использовал утилиту - EndItAll.
P.P.S. на форуме kaspersky.ru , также предлагается выслать лог GetSystemInfo. Лог снял, но требования - нет и высылать его я не стал, если надо - вышлю.

В принципе ничего подозрительного в логах не видно...

Ограничения пользователю касательно IE и панели управления сами ставили?

[quote=Bratez;192295]В принципе ничего подозрительного в логах не видно...
Ограничения пользователю касательно IE и панели управления сами ставили?[/quote]
Да, вероятно сам (сейчас в FireFox), надо ещё внимательно посмотреть ...
Я сначала запрещал всё, что можно (и IE через DropMyRights запускал)...

А, извиняюсь, как проверить есть в файле вирус или нет?
AVZ удалил два файла в Infected:
C:\WINDOWS\system32\drivers\GetBinFile.SYS - Trojan-Spy.Win32.Banker.dvp
C:\Program Files\EPOX\EPTP\GetBINFile.SYS - Trojan-Spy.Win32.Banker.dvp
(Кстати по поводу AVZ, прошу прощения, в моем посте следует читать не в карантин а в Ifected.)
И ещё два файла в карантин. Итого - 4 подозрительных файла.

В AVZ указано отправить подозрительные файлы присылать: [email][email protected][/email]
Так?

С Уважением..,

подозрительные файлы можно еще загрузить сюда ... [url]http://virusinfo.info/upload_virus.php?tid=18533[/url]

Всё-таки "решился" послать файлы Вам, 3 файла,

Антивирус Каперского (7.0.1.321 (базы свежие) ничего не определил.
Утилита AVZ 4.29 (базы свежие) определила [B]4 файла:[/B]
[U][I]Были отправлены в карантин 2 файла :[/I][/U]
[B]UsrClass.dat - высылаю[/B]
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.tmp - Подозрение на Trojan.WinREG.Zapchast.e (00032A56 00000000 00000000 00000000 8192)
[B]wlinject.exe - выслать не могу [/B]KAV при проверке файла ничего не определяет НО создать архив не даёт (Вирус (модификация) Password-protected-exe). Этот файл при подведении курсора определяется как элемент ViPNet Personal Firewall (Компания InfoTeCS [URL]http://infotecs.ru/[/URL])
C:\WINDOWS\system32\wlinject.exe - ЭПС: Подозрение на опасно - отладчик процесса "winlogon.exe" (высокая степень вероятности)

[U][I]Были отправлены в Infected 2 файла [/I][/U]определились как Trojan-Spy.Win32.Banker.dvp (но в разных местах)[U][I]:[/I][/U]
C:\Program Files\EPOX\EPTP\GetBINFile.sys
C:\WINDOWS\system32\drivers\GetBinFile.SYS
быть может это элемент программного обеспечения Epox (материнская плата) EPTP (мониторинг вольтажа и т.д...)? (я правда им редко пользуюсь)


Послал не сразу после последнего сообщения, так как посылал запрос на [email][email protected][/email] (дважды). Но к сожалению ответа не получил...

С Уважением..,


P.S. Ещё раз уточню - никаких странностей не заметил.
Эти файлы можно восстановить к иcпользованию (в случае отсутствия "заразы")?

АВЗ оригиналы файлов никуда не девает, а просто снимает с них копию и помещает в карантин, так что если они чисты, то восстанавливать ничего не нужно, файлы и так все на своих местах, разве что папку карантина почистите, что бы меньше мусора было на диске.

[quote=wise-wistful;195641]АВЗ оригиналы файлов никуда не девает, а просто снимает с них копию и помещает в карантин, так что если они чисты, то восстанавливать ничего не нужно, файлы и так все на своих местах, ...[/quote]

НЕТ.

"Карантин - папка с копиями подозрительных объектов"
Файлы - UsrClass.dat и wlinject.exe на диске есть.

"Infected - папка с копиями [B]удалённых[/B] вредоносных объектов"
Файлы:
C:\Program Files\EPOX\EPTP\GetBINFile.sys
C:\WINDOWS\system32\drivers\GetBinFile.SYS
на диске [U]отсутствуют[/U] . После нажатия кнопки "восстановить" указанные файлы появились в указанных директориях.


С Уважением..,

GetBinFile.sys
No malicious code was found in this file.

Видимо ложное срабатывание AVZ... восстановили? ну и ладно :)

Ещё, если можно вопрос:
Периодически запускаю в AVZ 4.29 "Мастер поиска и устранения проблем"
Постоянно обнаруживалось только [U]одно[/U]:
> Обнаружен отладчик системного процесса
- вероятно (??!) это ViPNet Personal Firewall (Компания InfoTeCS [URL]http://infotecs.ru/[/URL])

Вчера запустил
[SIZE=1]Уточнение: перед эти пытался запустить EPTP - EPox Thunder Probe - программное обеспечения Epox (материнская плата) - мониторинг вольтажа и т.д... НО поскольку AVZ 4.29 удалил файл GetBinFile.SYS - ПО не запустилось и вывалилось несколько ошибок.

[/SIZE]и получил ответ:
"Мастер поиска и устранения проблем" -> "Системные проблемы":
> Обнаружен отладчик системного процесса
> Разрешён автозапуск с HDD
> Разрешён автозапуск с сетевых дисков
> Разрешён автозапуск с CD ROM
> Разрешён автозапуск cо сменных носителей
> Отключено автоматическое обновление системы (Windows Update)

Что сказать не знаю -
1. Автоматическое обновление системы (Windows Update) у меня всегда было отключено.
2. В BIOS разрешена загрузка [B]только[/B] с HDD (1 штука)
3. По поводу CD ROM в реестре также прописано:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autor*un -> значение 0

*В утилите xp-AntySpy также указан запрет автозапуска с CD ROM
*Физически проверил - (например диск "Игромании")
Файл AUTORUN.INF
[autorun]
open=disk_new_vm.exe
icon=MANIA.ICO

Диск вставил -> никакого автозапуска. В процессе обращения - работает KAV - всё как обычно.

Что это может быть?
Переустановить AVZ 4.29 или последовать совету -> "Исправить отмеченные проблемы"?

С Уважением..,

То, что AVZ выводит как проблему - это не значит, что это 100% реальная проблема для Вашего компьютера...

Отключили обновление сами - это опасно, avz и сигнализирует, но раз сделали сами - как пожелаете...

Про автозапуск - [url]http://virusinfo.info/showthread.php?t=16459[/url]

[quote=rubin;195726]...
Отключили обновление сами - это опасно, avz и сигнализирует, но раз сделали сами - как пожелаете...
Про автозапуск - [URL]http://virusinfo.info/showthread.php?t=16459[/URL][/quote]

1. Меня больше заинтересовало/забеспокоило почему AVZ сейчас сделал такое предупреждение (хотя я ничего не делал и всё так и было раньше (надеюсь))
2. А тут я немного в растерянности:
* лучше выполнить [URL]http://virusinfo.info/showthread.php?t=16459[/URL]
плюс [URL="http://virusinfo.info/showpost.php?p=172515&postcount=2"]http://virusinfo.info/showpost.php?p=172515&postcount=2 [/URL]
* или последовать совету -> "Исправить отмеченные проблемы" в "Мастер поиска и устранения проблем?
* или ничего не делать так автозапуск с CD ROM - [B]и так отсутствует[/B] (или я что-то не понял ?)
* И как это "заблокировать автозапуск на HDD" ? а загрузка Win ? (прошу прощения за "возможно очевидные" вопросы)
* В BIOS же всё отключено
> Разрешён автозапуск с сетевых дисков
> Разрешён автозапуск cо сменных носителей
Или опять что-не так...
* И как "откатить" всё назад (после выполнения скриптов?) -> "Отмена изменений" -> "Мастер поиска и устранения проблем" ?


С Уважением..,

p.s. И что будет, если вдруг AVZ ошибся и у меня нет указанных проблем, а я выполню скрипты/"Исправлю отмеченные проблемы"?

[code]begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.[/code]
Это отключение автозапуска с CD

[code]procedure DisableAutorun;
begin
// Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
// Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;

begin
DisableAutorun;
end.[/code]
Это отключение со съемных носителей и харда...


Второй скрипт равноценен исправлению проблем:
> Разрешён автозапуск с HDD
> Разрешён автозапуск cо сменных носителей

[quote]Меня больше заинтересовало/забеспокоило почему AVZ сейчас сделал такое предупреждение (хотя я ничего не делал и всё так и было раньше (надеюсь))[/quote]
Он начал определять это лишь с недавних обновлений

[quote]И как "откатить" всё назад (после выполнения скриптов?) -> "Отмена изменений" -> "Мастер поиска и устранения проблем" ?[/quote]
Да

[quote]то будет, если вдруг AVZ ошибся и у меня нет указанных проблем, а я выполню скрипты/"Исправлю отмеченные проблемы"?[/quote]
Ничего не будет плохого :)

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[quote]* И как это "заблокировать автозапуск на HDD" ? а загрузка Win ? (прошу прощения за "возможно очевидные" вопросы)[/quote]
загрузка Windows с этим не связана и не пострадает

В качестве необязательной рекомендации посоветую - удалить Spybot - Search & Destroy и Ad-Aware2007. Вполне достаточно KAV и AVZ, при их наличии необходимости присутствия в системе Spybot - Search & Destroy и Ad-Aware2007 не вижу. Меньше программ безопасности стабильнее ОС.

Во-первых благодарю всех за помощь! (увы так быстро и квалифицированно очень редко встретишь...)
[quote=SDA;195776]В качестве необязательной рекомендации посоветую - удалить Spybot - Search & Destroy и Ad-Aware2007. Вполне достаточно KAV и AVZ, при их наличии необходимости присутствия в системе Spybot - Search & Destroy и Ad-Aware2007 не вижу. Меньше программ безопасности стабильнее ОС.[/quote]
Ad-Aware2007 удалил без сожаления (крайне редко пользуюсь), к сожалению "накосячил" перед удалением - не остановил службу... теперь она присутствует в качестве остановленной...

Spybot - Search & Destroy как-то жалко - проверяю им иногда, регулярно обновляю его базу "не рекомендованных хостов"...да и FileShredder,ом пользуюсь регулярно....

[B]О Главном..[/B]

На всякий случай установил с сайта "свежую" версию AVZ ("старую" удалил как рекомендовано - по скрипту )
1. "Скрипт для отключения всего кроме запуска с СД:" [URL]http://virusinfo.info/showpost.php?p=172531&postcount=1[/URL]
Без проблем -> перезагрузки не потребовало, повторная проверка -> ОК
2. " Скрипт для отключения автозапуска с CD" [URL]http://virusinfo.info/showpost.php?p=172515&postcount=2[/URL]
выполнил -> OK, перезагрузка, проверка -> Разрешён автозапуск с CD ROM
Перезагрузка -> " Скрипт для отключения автозапуска с CD" -> выполнил -> OK, перезагрузка, проверка -> Разрешён автозапуск с CD ROM
То есть - бестолку...
[B]последовал совету[/B] -> "Исправить отмеченные проблемы" в "Мастер поиска и устранения проблем? , отметил - выполнил, OK, прверка -> ОК
* поверил реестр - всё как и было [B]раньше[/B] прописано:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autorun -> значение 0

Это как - "глюк" или некая особенность?

С Уважением..,

p.s.

Проблему -> Обнаружен отладчик системного процесса
Я устранять не стал, так как я понял - это лемент ViPNet Personal Firewall (Компания InfoTeCS [url]http://infotecs.ru/[/url])

[quote]Это как - "глюк" или некая особенность?[/quote]
Видимо он проверяет не только этот ключ... но и еще какой-то

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]4[/B][*]Обработано файлов: [B]4[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] \\spooler.exe - [B]Trojan-Downloader.Win32.Small.jge[/B][/LIST][/LIST]