Вирусы атакуют

Хочу сразу извиниться за свою тупость.
Возможно, эта тема была рассмотрена раньше и я нарушила правила.
Некоторое время назад мой антивирус Аваст обнаружил вирусы - [EMAIL="Win32.Stration.CX@mm"]Win32.Stration.CX@mm[/EMAIL], [EMAIL="Win32.StrationDB@mm"]Win32.StrationDB@mm[/EMAIL], [EMAIL="Win32.Stration@mm"]Win32.Stration@mm[/EMAIL], убрал их в сундук. Но они стали появляться и появляться. Спустя какое-то время, Аваст был уволен. На его место пришел Symantec.
Он проверил все, удалил до хрена.
Вчера зашла на ваш форум и увидела тему про этот вирус. Разница только в том, что сегодня новый антивирус не обнаружил у меня угрозы. Как вы думаете, это временно? И что мне делать с этим?
Еще раз извиняюсь, если я буду тупить. Для меня это очень далекие вещи.

[SIZE=2][COLOR=black]Сначала [B]обязательно[/B] прочтите и выполните [B][URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL][/B][/COLOR][/SIZE] тогда можно будет точно сказать есть что-то в системе или нет. А гадать не на чем, у меня кофе закончился.

Вот...

1. В AVZ выполнить скрипт (Файл -- Выполнить скрипт -- Вставить туда текст)
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\vp6dec_settings.cpl','');
QuarantineFile('C:\WINNT\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll','');
QuarantineFile('C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('atmmgr32.dll','');
QuarantineFile('C:\WINNT\shost.exe s','');
QuarantineFile('C:\WINNT\System32\atmconf.exe','');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать карантин, согласно [B]Приложения 2 Правил[/B]
З.Ы. Вообщем-то ХР без сервиспаков это круто!! А также несколько антивирусов.

Просто вставить туда текст и закрыть окно, без запуска, сохранения и т.д.?

[quote=Bruja;93346]Просто вставить туда текст и закрыть окно, без запуска, сохранения и т.д.?[/quote]

[url=http://virusinfo.info/showthread.php?t=7239] Вот тут всё в картинках :)[/url]

Вот...

Я вижу лог, который у вас не спрашивали. Вас просили прислать то, что при выполнении скрипта попало в карантин AVZ. Если ещё не сделали - прочитайте в правилах Приложение 2 и пришлите всё, что обнаружится в карантине. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7697[/url]

pig, спасибо вам. кажется, сделала то, что требовалось.

Почти. Почему-то в карантине мало файлов.
Выполните в АВЗ скрипт, получившийся карантин отправьте по правилам,
оставьте один антивирус, сделайте новые логи
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll','');
QuarantineFile('C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll','');
QuarantineFile('C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe','');
QuarantineFile('C:\WINNT\System32\atmconf.exe','');
QuarantineFile('C:\WINNT\shost.exe s','');
QuarantineFile('atmmgr32.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('C:\WINNT\Downloaded Program Files\popcaploader.dll','');
DeleteFile('C:\Documents and Settings\Анна\Local Settings\Temp\~DFA76.tmp');
DeleteFile('C:\Documents and Settings\Мария\Local Settings\Temp\~WRF0480.tmp');
DeleteFile('C:\ex.cab');
DeleteFile('e1.dll');
DeleteFile('C:\WINNT\shost.exe s');
DeleteFile('C:\WINNT\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Карантин отправила по правилам.
Вот новые логи:

Пока можно пофиксить:
[code]R3 - URLSearchHook: iMesh MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll (file missing)
O3 - Toolbar: iMesh MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll (file missing)
O3 - Toolbar: WebAlta Toolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll (file missing)
O4 - HKLM\..\Run: [atmdiag] C:\WINNT\System32\atmconf.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk570YYRU
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing)[/code]

Пофиксила. Что-нибудь еще?
Симантек уже два дня ничего не находит. Может быть, все уже в норме?
ХР без сервиспаков - это совсем плохо?

[QUOTE=Bruja;93494]ХР без сервиспаков - это совсем плохо?[/QUOTE]
Это очень плохо.
Представь себе сторожа на воротах. Он охраняет только ворота. Это твой антивирус Симантек.
А в заборе полным-полно дырок больших и маленьких. Это твоя Виндовс без сервиспака-2 и других заплаток.
То есть, каким бы хорошим не был твой антивирус, зараза всё равно будет проникать из сети на твой компьютер.
А Симантек к тому же не очень хороший антивирус.

Можно почитать вот этот топик [url]http://www.virusinfo.info/showthread.php?t=1431[/url] Там всё хорошо написано.

P. S. Да! Ещё один важный момент: антивирус на компьютере должен быть [b]только один[/b].

Палыч, еще пара тупых вопросов:
Прочитала статью. Хотела включить межсетевой экран, встроенный в Windows (там написано, как), вот только до меня не доходит, как?
У меня было множество антивирусов, в свое время, как мне казалось, я их всех удалила. А тут все говорят, что у меня их несколько...

[B]Bruja[/B] Межсетевой экран, встроенный есть только в SP2.

Из антивирусов видны: Norton, Nod, Panda или их остатки. Надо определиться с чем и как жить дальше 8)

PavelA, видимо, их жалкие остатки... А как их окончательно удалить?
Стоит использовать Agnitum?

А что-то из антивирусов то работает?
Определяем того,кто еще жив, а остальное с помощью virusinfo.info/forum и HijackThis удаляем.

Agnitum Outpost - хорошо, но нужно правильно настроить. Есть рекомендация здесь на форуме.

-по всей видимости именно Symantec AntiVirus используется как действующий... от остального же только хвосты остались из-за кривого удаления... причём, только ошмётки от Pand`ы и KAV`а могут реально влиять на работу ОС, по сему предлагаю выполнить в AVZ скрипт: [code]begin
SetAVZGuardStatus(True);
DeleteFile('c:\program files\common files\panda software\pavshld\pavprsrv.exe');
DeleteFile('\SystemRoot\System32\Drivers\ShldDrv.SYS');
DeleteFile('\??\C:\WINNT\System32\DRIVERS\PavProc.sys');
DeleteFile('\??\C:\WINNT\System32\Drivers\klif.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
...кроме того загрузить и выполнить [URL="http://downloads1.kaspersky-labs.com/utils/klremover/KAV_Registry_Clean.zip"]KAV_Registry_Clean.exe[/URL]
-NOD`а, извините, не заметил

[quote=PavelA;93507]А что-то из антивирусов то работает?
Определяем того,кто еще жив, а остальное с помощью virusinfo.info/forum и HijackThis удаляем.

Agnitum Outpost - хорошо, но нужно правильно настроить. Есть рекомендация здесь на форуме.[/quote]

Работает Симантек... Как вот теперь другие удалить? :?
Agnitum - где прочитать про настройки? Я видела на сайте ссылку на форум, там? :?