Вирусы атакуют

Хочу сразу извиниться за свою тупость.
Возможно, эта тема была рассмотрена раньше и я нарушила правила.
Некоторое время назад мой антивирус Аваст обнаружил вирусы - [EMAIL="Win32.Stration.CX@mm"]Win32.Stration.CX@mm[/EMAIL], [EMAIL="Win32.StrationDB@mm"]Win32.StrationDB@mm[/EMAIL], [EMAIL="Win32.Stration@mm"]Win32.Stration@mm[/EMAIL], убрал их в сундук. Но они стали появляться и появляться. Спустя какое-то время, Аваст был уволен. На его место пришел Symantec.
Он проверил все, удалил до хрена.
Вчера зашла на ваш форум и увидела тему про этот вирус. Разница только в том, что сегодня новый антивирус не обнаружил у меня угрозы. Как вы думаете, это временно? И что мне делать с этим?
Еще раз извиняюсь, если я буду тупить. Для меня это очень далекие вещи.

[SIZE=2][COLOR=black]Сначала [B]обязательно[/B] прочтите и выполните [B][URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL][/B][/COLOR][/SIZE] тогда можно будет точно сказать есть что-то в системе или нет. А гадать не на чем, у меня кофе закончился.

Вот...

1. В AVZ выполнить скрипт (Файл -- Выполнить скрипт -- Вставить туда текст)
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINNT\System32\vp6dec_settings.cpl','');
QuarantineFile('C:\WINNT\Downloaded Program Files\popcaploader.dll','');
QuarantineFile('C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll','');
QuarantineFile('C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('atmmgr32.dll','');
QuarantineFile('C:\WINNT\shost.exe s','');
QuarantineFile('C:\WINNT\System32\atmconf.exe','');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

После перезагрузки прислать карантин, согласно [B]Приложения 2 Правил[/B]
З.Ы. Вообщем-то ХР без сервиспаков это круто!! А также несколько антивирусов.

Просто вставить туда текст и закрыть окно, без запуска, сохранения и т.д.?

[quote=Bruja;93346]Просто вставить туда текст и закрыть окно, без запуска, сохранения и т.д.?[/quote]

[url=http://virusinfo.info/showthread.php?t=7239] Вот тут всё в картинках :)[/url]

Вот...

Я вижу лог, который у вас не спрашивали. Вас просили прислать то, что при выполнении скрипта попало в карантин AVZ. Если ещё не сделали - прочитайте в правилах Приложение 2 и пришлите всё, что обнаружится в карантине. Ссылка на тему: [url]http://virusinfo.info/showthread.php?t=7697[/url]

pig, спасибо вам. кажется, сделала то, что требовалось.

Почти. Почему-то в карантине мало файлов.
Выполните в АВЗ скрипт, получившийся карантин отправьте по правилам,
оставьте один антивирус, сделайте новые логи
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll','');
QuarantineFile('C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll','');
QuarantineFile('C:\PROGRA~1\Sony\SONICS~1\SsAAD.exe','');
QuarantineFile('C:\WINNT\System32\atmconf.exe','');
QuarantineFile('C:\WINNT\shost.exe s','');
QuarantineFile('atmmgr32.dll','');
QuarantineFile('e1.dll','');
QuarantineFile('C:\WINNT\Downloaded Program Files\popcaploader.dll','');
DeleteFile('C:\Documents and Settings\Анна\Local Settings\Temp\~DFA76.tmp');
DeleteFile('C:\Documents and Settings\Мария\Local Settings\Temp\~WRF0480.tmp');
DeleteFile('C:\ex.cab');
DeleteFile('e1.dll');
DeleteFile('C:\WINNT\shost.exe s');
DeleteFile('C:\WINNT\Downloaded Program Files\popcaploader.dll');
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]

Карантин отправила по правилам.
Вот новые логи:

Пока можно пофиксить:
[code]R3 - URLSearchHook: iMesh MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll (file missing)
O3 - Toolbar: iMesh MediaBar - {B7D3E479-CC68-42B5-A338-938ECE35F419} - C:\Program Files\iMesh applications\iMesh MediaBar\MediaBar.dll (file missing)
O3 - Toolbar: WebAlta Toolbar - {0E1230F8-EA50-42A9-983C-D22ABC2EED3B} - C:\Program Files\WebAlta\Toolbar\WebaltaToolbar.dll (file missing)
O4 - HKLM\..\Run: [atmdiag] C:\WINNT\System32\atmconf.exe
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk570YYRU
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-611111193458} - file://c:\ex.cab
O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://arcade.icq.com/carlo/zuma/popcaploader_v5.cab
O20 - Winlogon Notify: atmmgr - atmmgr32.dll (file missing)[/code]

Пофиксила. Что-нибудь еще?
Симантек уже два дня ничего не находит. Может быть, все уже в норме?
ХР без сервиспаков - это совсем плохо?

[QUOTE=Bruja;93494]ХР без сервиспаков - это совсем плохо?[/QUOTE]
Это очень плохо.
Представь себе сторожа на воротах. Он охраняет только ворота. Это твой антивирус Симантек.
А в заборе полным-полно дырок больших и маленьких. Это твоя Виндовс без сервиспака-2 и других заплаток.
То есть, каким бы хорошим не был твой антивирус, зараза всё равно будет проникать из сети на твой компьютер.
А Симантек к тому же не очень хороший антивирус.

Можно почитать вот этот топик [url]http://www.virusinfo.info/showthread.php?t=1431[/url] Там всё хорошо написано.

P. S. Да! Ещё один важный момент: антивирус на компьютере должен быть [b]только один[/b].

Палыч, еще пара тупых вопросов:
Прочитала статью. Хотела включить межсетевой экран, встроенный в Windows (там написано, как), вот только до меня не доходит, как?
У меня было множество антивирусов, в свое время, как мне казалось, я их всех удалила. А тут все говорят, что у меня их несколько...

[B]Bruja[/B] Межсетевой экран, встроенный есть только в SP2.

Из антивирусов видны: Norton, Nod, Panda или их остатки. Надо определиться с чем и как жить дальше 8)

PavelA, видимо, их жалкие остатки... А как их окончательно удалить?
Стоит использовать Agnitum?

А что-то из антивирусов то работает?
Определяем того,кто еще жив, а остальное с помощью virusinfo.info/forum и HijackThis удаляем.

Agnitum Outpost - хорошо, но нужно правильно настроить. Есть рекомендация здесь на форуме.

-по всей видимости именно Symantec AntiVirus используется как действующий... от остального же только хвосты остались из-за кривого удаления... причём, только ошмётки от Pand`ы и KAV`а могут реально влиять на работу ОС, по сему предлагаю выполнить в AVZ скрипт: [code]begin
SetAVZGuardStatus(True);
DeleteFile('c:\program files\common files\panda software\pavshld\pavprsrv.exe');
DeleteFile('\SystemRoot\System32\Drivers\ShldDrv.SYS');
DeleteFile('\??\C:\WINNT\System32\DRIVERS\PavProc.sys');
DeleteFile('\??\C:\WINNT\System32\Drivers\klif.sys');
ExecuteSysClean;
RebootWindows(true);
end.[/code]
...кроме того загрузить и выполнить [URL="http://downloads1.kaspersky-labs.com/utils/klremover/KAV_Registry_Clean.zip"]KAV_Registry_Clean.exe[/URL]
-NOD`а, извините, не заметил

[quote=PavelA;93507]А что-то из антивирусов то работает?
Определяем того,кто еще жив, а остальное с помощью virusinfo.info/forum и HijackThis удаляем.

Agnitum Outpost - хорошо, но нужно правильно настроить. Есть рекомендация здесь на форуме.[/quote]

Работает Симантек... Как вот теперь другие удалить? :?
Agnitum - где прочитать про настройки? Я видела на сайте ссылку на форум, там? :?

Alex Plutoff, сейчас сделаю. Nod так тоже удалится?

[QUOTE=Alex Plutoff;93509]
-NOD`а, извините, не заметил[/QUOTE]

Сорри, с KAV перепутал.

[B]Bruja[/B]
Ссылка на настройку Outpost [URL="http://virusinfo.info/showthread.php?t=1399"]http://virusinfo.info/showthread.php?t=1399[/URL]

А что у меня все-таки с вирусами? Я сделала все, что вы говорили. Надо установить Agnitum и можно жить спокойно? Или еще что-то?

Что у тебя сейчас с вирусами тебе хэлперы скажут, которые помогали тебе в лечении компьютера.
А для того, чтобы максимально защитить свою систему от повторных заражений нужно:
-- поставить на Виндовс SP2 и все заплатки, которые вышли уже после выхода SP2. Сразу оговорюсь, что если у тебя Виндовс пиратская (не лицензионная), то это чревато тем, что Виндовс откажется работать и запросит активации. Судя по всему, сама ты с этой проблемой справится не сможешь.
Если Виндовс у тебя законная (лицензионная), то достаточно включить Автоматическое Обновление и Виндовс сама по интернету свяжется с сервером обновлений фирмы Майкрософт и скачает для себя все необходимые обновления и дополнения.
-- Симатек не очень хороший антивирус. Это лично моё мнение. Но стоит, работает -- и ладно. Пусть пока стоит. Но не забывай, что антивирус только тогда эффективен, когда его антивирусные базы свежие. Поэтому предоставляй как можно чаще ему возможность слазить на свой сервер за обновлениями антивирусных баз.
-- Agnitum Outpost очень хороший фаерволл. Но сложноват для начинающих. Поэтому перед тем, как его ставить нужно хорошенько изучить что это такое, для чего нужно и как это работает и настраивается. Может быть даже кое-какие важные моменты распечатать на бумагу.

Ну вот... написал несколько сумбурно, просто, как в голову пришло...

Виндоуз у меня пиратская, получается, SP2 поставить не смогу? Agnitum нельзя считать заменой SP2? (Сразу извиняюсь, если это глупый вопрос)
И еще один вопрос - как часто надо переустанавливать виндоуз?

Без установки SP2 и шестидесяти последующих заплаток не спасёт ни один антивирус и ни один файрвол. Бессмысленно укреплять дверь и ставить решётки на окна, если стены картонные.

Переустанавливать надо по мере прихода системы в негодность, а это от многих факторов зависит. У меня дома Windows 2000 жила около четырёх лет без переустановки, только заплатки ставил постоянно. И уволил не потому, что умерла, а при полном апгрейде машины.

И что же мне теперь делать? Покупать лецензионные Виндоуз и Офис?

[QUOTE=Bruja;93529]И что же мне теперь делать? Покупать лецензионные Виндоуз и Офис?[/QUOTE]
Ну... формально это было бы самым лучшим решением. Только это дорого.
А так... могу дать совет: среди своих друзей и знакомых найди молодого человека, который умеет решать эти вопросы.

Легче все лицензионное купить! :L
А вообще - спасибо все большое:pray:, что стерпели мою тупость :wall:

Раньше в "Сетевых подключениях" у меня было только "Подключение по локальной сети", а тут время от времени появяется какой-то "шлюз из интернета ROL на YOUR-0761CCE304"... Это нормально?

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]