Нужно ли избавляться?

Printable View

20.07.2007, 13:48
HVitaminka

Вложений: 3

Нужно ли избавляться?

Здравствуйте.

Проверила компьютер с помощью утилиты AVZ. Поскольку впервые пользуюсь ей, то прежде, чем пытаться удалить все найденные ею гадкие файлы, хотела уточнить, а нужно ли их удалять все или какие-то безвредны и может быть даже нужные? И если нужно удалять, то как? я ставила галочку "удалять" на методике лечения для вирусов, но, так понимаю, что-то осталось все равно. Помогите разобраться, пожалуйста. Лог проверки и карантин прилагаю.
20.07.2007, 13:55
Rene-gad

[quote=HVitaminka;123855] Лог проверки и карантин прилагаю.[/quote]
логи по правилам: [url]http://virusinfo.info/showthread.php?t=1235[/url]
23.07.2007, 09:44
HVitaminka

закачала по правилам.
23.07.2007, 09:49
drongo

Не вижу логов. Их вирусы поели? Логи должны быть в теме. Смотрите, что цепляете, прикреплять только то что указано в правилах.
24.07.2007, 13:50
HVitaminka

[quote=drongo;124189]Не вижу логов. Их вирусы поели? Логи должны быть в теме. Смотрите, что цепляете, прикреплять только то что указано в правилах.[/quote]
Они там были. поставила еще раз. только логи без карантина.
25.07.2007, 01:29
pig

И где? prov.txt - это совсем не то, что требуется по правилам.
25.07.2007, 12:45
HVitaminka

[quote=pig;124567]И где? prov.txt - это совсем не то, что требуется по правилам.[/quote]
то, что в карантине я уже отправила дважды, через ссылку наверху, как описано в приложении 3. в теме ничего не появляется.
25.07.2007, 12:49
drongo

[quote=HVitaminka;124622]то, что в карантине я уже отправила дважды, через ссылку наверху. в теме ничего не появляется.[/quote]
Да хоть 10 раз,это не поможет;) логи сначала сделай и прикрепи к теме , читай правила ещё раз.
25.07.2007, 13:27
HVitaminka

[quote=drongo;124624]Да хоть 10 раз,это не поможет;) логи сначала сделай и прикрепи к теме , читай правила ещё раз.[/quote]
Я сейчас снова сделала проверку, прочитала правила еще раз, прикрепила тему в ссылку где отправляются файлы и отправила туда то, что в карантине, только вот проверка показывает гораздо больше подозрительных файлов, чем помещает в карантин.
25.07.2007, 13:32
drongo

[quote=HVitaminka;124639]Я сейчас снова сделала проверку, прочитала правила еще раз, прикрепила тему в ссылку где отправляются файлы и отправила туда то, что в карантине, только вот проверка показывает гораздо больше подозрительных файлов, чем помещает в карантин.[/quote]
тяжёлый случай :-)
файлы : [SIZE=3][B][COLOR=Blue][I][COLOR=Black]virusinfo_syscure.zip[/COLOR][/I] ,[COLOR=Black][COLOR=Black][I]virusinfo_syscheck.zip, hijackthis.log [/I][/COLOR][/COLOR][/COLOR][/B][/SIZE]должны быть прикреплены к теме, а не посланы куда-либо.
[SIZE=3][/SIZE]
с английским у вас как ? потому что на русском вы, я вижу не хотите понять.
25.07.2007, 14:41
HVitaminka

теперь правильно? я смотрела тут [url]http://virusinfo.info/showthread.php?t=4567[/url] ибо диагностику к себе не отнесла, так как уже все проверила.. Пожалуйста, не сердитесь.
25.07.2007, 14:57
drongo

[quote=HVitaminka;124660]теперь правильно? я смотрела тут [URL]http://virusinfo.info/showthread.php?t=4567[/URL] ибо диагностику к себе не отнесла, так как уже все проверила.. Пожалуйста, не сердитесь.[/quote]

Всё очень странно, ренегад дал же верную ссылку :

[url]http://virusinfo.info/showpost.php?p=123857&postcount=2[/url]
сейчас посмотрю, что можно сделать.
25.07.2007, 15:07
HVitaminka

Женская логика, наверное) я дочитала до последнего пункта и решила, что как раз он мне и нужен.
Жду с нетерпением.
25.07.2007, 15:19
drongo

1. Правила исполнены не корректно .Опять плохо читали?
Отключить восстановление системы !
Отключать надо антивирус перед исполнением скриптов !
2.
Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. [URL="http://virusinfo.info/showthread.php?t=7239"]Подробнее...[/URL]):
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\DRIVERS\atl01_xp.sys','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\avipbb.sys','');
QuarantineFile('C:\WINDOWS\system32\ovrscn.sys','');
QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
QuarantineFile('C:\WINDOWS\Installer\104020.msi','');
QuarantineFile('C:\WINDOWS\system32\qz.sys','');
DeleteFile('C:\WINDOWS\system32\svshost.dll');
DeleteFile('C:\WINDOWS\system32\qz.sys');
DeleteFile('C:\WINDOWS\system32\ovrscn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
После выполнения скрипта компьютер перезагрузится.

3.Сделать новые логи по правилам.
4. включить антивирус, подключиться к интернету и прикрепить логи из пункта 3 данного ответа к следуещему сообщению.
5. пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)

[size="1"][color="#666686"][B]Добавлено через 8 минут[/B][/color][/size]
исправлено
25.07.2007, 16:14
HVitaminka

Вложений: 3

восстановление отключала. честно!
а антивир у меня Antivir Guard без кнопок "выключить" или "выход", даже когда жмешь файл-выход, он просто сворачивается в трей.. сейчас я его выключила через диспетчер задач. надеюсь он выключился. новые логи выкладываю.
25.07.2007, 17:13
Rene-gad

[QUOTE=HVitaminka;124683]
а антивир у меня Antivir Guard без кнопок "выключить" или "выход", даже когда жмешь файл-выход, он просто сворачивается в трей.. [/QUOTE]... а если при этом подойти к зонтику в трее правым мышем, то откроется меню, в котором можно/нужно выбрать опцию [B]Stop AVGuard[/B].
25.07.2007, 17:23
HVitaminka

не нашла такого [URL="http://ljplus.ru/image/2007/2425758"]вот скрин[/URL]
25.07.2007, 17:28
Rene-gad

[QUOTE=HVitaminka;124701]не нашла такого [URL="http://ljplus.ru/image/2007/2425758"]вот скрин[/URL][/QUOTE]ОК, тогда просто кликлните на крючок возле Activate AntiVir Guard, при этом крючок должен исчезнуть, а зонтик - сложиться.
25.07.2007, 17:30
HVitaminka

о! это сработало) Спасибо! Но я уже все равно его выключала для проверки, так что логи присланные уже без него, сейчас просто снова включила, чтобы еще чего красивого не словить, пока жду ответов)
25.07.2007, 20:47
drongo

Может на диске C, Таня и отключила, а вот про диск D ,почему то забыла ;(
Посмотри ещё раз восстановление системы на всех дисках.
Выполните скрипт в AVZ:

[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
BC_DeleteFile('C:\WINDOWS\system32\qz.dll');
BC_DeleteFile('C:\WINDOWS\system32\ovwscn.sys');
BC_DeleteFile('C:\WINDOWS\system32\ovwscn.dll');
BC_DeleteFile('C:\WINDOWS\system32\qz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.
[/code]
прикрепить к сообщению boot_clr.log (из папки, где жёвёт у тебя AVZ), и сделать новые логи.
26.07.2007, 11:02
HVitaminka

Вложений: 3

[quote=drongo;124744]Может на диске C, Таня и отключила, а вот про диск D ,почему то забыла ;(
Посмотри ещё раз восстановление системы на всех дисках.[/quote]
Делала на всех. [URL="http://ljplus.ru/img3/h/r/hrustalnaya/__3.jpg"]Скрин[/URL]. кстати я Лена)
[quote=drongo;124744]прикрепить к сообщению boot_clr.log (из папки, где жёвёт у тебя AVZ), и сделать новые логи.[/quote]
такого у меня почему-то нет. [URL="http://ljplus.ru/img3/h/r/hrustalnaya/__4.jpg"]Скрин[/URL]
Новые логи сделала.
26.07.2007, 21:50
drongo

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[code]
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O20 - Winlogon Notify: ovrscn - C:\WINDOWS\SYSTEM32\ovrscn.dll
[/code]

Поискать в ручную в безопасном режиме из AVZ файл ovrscn.dll
если найдётся - удалить.(должен был удалиться уже давно автоматом, это на всякий случай вам придётся проверить)

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!
27.07.2007, 14:49
HVitaminka

1. Пофиксила.
2. Поискала. Нашла. убила.
3. В карантине все равно висит еще одни файлик. Прислать? Убивать?
4. Антивирусник перестал ругаться, но AVZ при проверке все еще выдает пару позозрительных на мой взгляд строчек:
1) C:\WINDOWS\Installer\104020.msi/{MS-OLE}/\82 >>>>> Trojan.DOS.Kyjak
2) D:\Soft\Adobe\Adobe Acrobat\Adobe.Acrobat CE\AcroStanCE.msi/{MS-OLE}/\82 >>>>> Trojan.DOS.Kyjak - вроде кейген там отдельно лежит, этого раньше не было..
3) C:\WINDOWS\system32\KMPJLMN.DLL --> Подозрение на Keylogger или троянскую DLL
4) C:\WINDOWS\system32\KMPJLMN.DLL>>> Поведенческий анализ:
1. Реагирует на события: клавиатура, оконные события, все события
5) C:\WINDOWS\system32\KMPJLMN.DLL>>> Нейросеть: файл с вероятностью 99.56% похож на типовой перехватчик событий клавиатуры/мыши

Ниже написано, что заподозренные файлы удалять не надо, надо спросить у Вас)

Как только всех вирусов покоцаю, сразу займусь безопасностью и Вам пришлю на анализ что найду.

Или мой комп уже можно назвать чистым?
Карантин отправила.
27.07.2007, 15:09
drongo

1.Trojan.DOS.Kyjak- было ;) Архив с ним большой, наверное аналитикам было лень ;)
2.KMPJLMN.DLL- насколько я понимаю от KPrint Network Print Monitor , так что,если не хотите остаться без принтера- лучше не трогать. Можно конечно удалить, и посмотреть что будет .Если принтер не заработает- надо будет вернуть на место.
30.07.2007, 10:21
HVitaminka

[quote=drongo;125168]1.Trojan.DOS.Kyjak- было ;) Архив с ним большой, наверное аналитикам было лень ;) [/quote]
Не поняла, что значит "было"? Он есть, и AVZ не выкидывает его в карантин и не убивает, как вирус, хотя определяет. Что мне с ним делать? И Второй в карантине который, его убивать?
31.07.2007, 12:33
HVitaminka

Ну скажите уже, что мне дальше-то делать..
31.07.2007, 13:11
drongo

[QUOTE='HVitaminka;125885']Ну скажите уже, что мне дальше-то делать..[/QUOTE]Холодный чай с мятой пить ;)
Да в этом архиве вряд-ли что-то есть ;)Просто AVZ ошибся.
Можно попробовать распаковать архив ,и отдельно проверить с AVZ этот файл. Если всё равно будет детектить,Олегу Зайцеву послать. в авз, есть адресс , куда посылать.

P.S.Чтобы распаковать архив msi можно воспользоваться командой в командной строке
msiexec /a C:\WINDOWS\Installer\104020.msi , или ещё проще добавить в регистр, нажми двойным кликом на reg файл, который можно скачать :[url]http://home.planet.nl/~k00tje/software/Software/UnpackMSI.rar[/url] и тогда при нажатии правой кнопкой мышки по данному msi выбрать "Extract all files"
22.02.2009, 02:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]8[/B][*]Обработано файлов: [B]19[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\svshost.dll - [B]Backdoor.Win32.Small.ls[/B] (DrWEB: BackDoor.Dld.1167)[/LIST][/LIST]