OS Windows XP SP3.
Почти год живу в Окошках без постоянной антивирусной защиты. Соблюдая меры предосторожности, жил благополучно. Периодические проверки различными CureIt'ами показывали чистоту системы, да и по поведению компьютера это было похоже на правду.Однако пришлось-таки воспользоваться пару раз подозрительными приложениями. С некоторых пор стал замечать, что долго открываются сайты, прям как будто я пользуюсь не выделенной линией 30Мбит/с, а диал-ап'ом. ВКонтакте стала медленно грузиться почти вся музыка, а часто и вовсе недозагружаться; медленно грузятся видеоролики с youtube и т.п. Кроме того, FireFox после перезапуска стал быстро набирать "вес" в памяти и оставлять его резидентным по несколько дней стало проблематично - стало нужно перодически его закрывать, чего ранее НЕ наблюдалось.
Всё вышеперечисленное, а также наступление необходимости регулярной/плановой проверки компьютера сподвигли меня на
1 - проверку компьютера загрузочной флэшкой Касперского. Он нашёл несколько "зловредов", о которых я знаю и которые никак не могут причинить вред по ряду причин.
2 - проверку компьютера CureIt'ом в безопасном режиме. Я выбрал НЕ "Быстрая проверка", которая включается по умолчанию, а "Полную проверку". CureIt выявил BackDoor.IRC.Sbot.14859 в приложении, которое я подозревал на ненадёжность. Этот же зловред нашёлся в "точках восстановления системы".
Затем, действуя по плану, предписанному вашим сайтом проверил систему AVZ4 и HiJachThis'ом. AVZ4 обнаружил BackDoor.Win32.Rbot.acpj в приложении, которое тоже следовало бы подозревать И также в "точке восстановления системы". Есть ещё несколько странных ситуация, но они больше похожи на паранойю.
Прошу вас оказать мне любезность и проверить мою систему на чистоту.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) AnVaCher, спасибо за обращение на наш форум!
Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
AnVaCher, C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\rar-password-recovery.exe Как раз на этот файл и идет детект. Вы её пользовались уже?
Возможно. Я уже НЕ могу вспомнить точно. Я точно пользовался этим на другом компьютере, а про текущий запамятовал.
Сообщение от Дeнис
AnVaCher, C:\Documents and Settings\cherkas\Рабочий стол\Программы\RAR_password\RARpassworRecovery\rar-password-recovery.exe Как раз на этот файл и идет детект. Вы ею пользовались уже?
Удалил. Можно ли систему считать чистой ?
AVZ4 во время работы указывал и на доступ к компьютеру анономов и на запуск "лишних" служб... Часть я нашёл самостоятельно и устранил, действительно, некоторые политики были изменены. Я исправил, что увидел и что понимал. В остальном уповаю на вас, знатоки.
Некоторые сайты продолжают загружаться подозрительно, в частности этот сайт. Пишу вам из под Убунты с другого компьютера, а с проверяемого компьютера virusinfo.info открывается долго, и порой вовсе НЕ открывается.
Сообщение от Дeнис
AnVaCher, Удалите его,если скачивали не с проверенного сайта,иначе просто может быть вирус ,а не программа для восстановления паролей!
Последний раз редактировалось AnVaCher; 02.07.2012 в 20:07.
Обнаруженные ключи в реестре: 3
HKCR\CLSID\{82184935-B894-4AB2-8590-603BA7D74B71} (Trojan.WebMoner) -> Действие не было предпринято.
HKCR\50sovetov.eProtocol (Trojan.WebMoner) -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{d08d9f98-1c78-4704-87e6-368b0023d831} (PUP.Adware.RelevantKnowledge) -> Действие не было предпринято.
После перезагрузки!
Выполните скрипт в AVZ
---
Сделал.
Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.
---
"Результат загрузки
Ошибка загрузки. Данный файл уже был загружен"
Судя по длине файла (22 байта), он пустой.
ProxyServer = 74.221.64.9:3128 сами ставили?
---
Возможно. Использовал несколько разных прокси некоторое время. Сейчас не актуально.
Я и далее буду неукоснительно следовать вашим указаниям, но справедливости ради замечу, что лучше всего на ускорение работы Сети повлияло удаление из локалки "ударенного молнией" свича.
Последний раз редактировалось AnVaCher; 03.07.2012 в 02:38.
Я вернулся. Прошу прощения за вновь возрождённую тему.
Я сделал проверку CureIt'ом в безопасном режиме и он снова нашёл BackDoor.IRC.Sbot.14859 в точках восстановления. "Значит что-то ещё живёт в моём компьютере", - подумал я и понял, что мне следовало отключить восстановление системы, как то предписано инструкцией. Я отключил ... и снова проверил.
Затем проверил AVZ4 и HiJackThis'ом. Результат прикрепляю, как вы и просили.
P.S. Когда подбирал файлы для прикрепления, обратил внимание, что файл virusinfo_cure.zip "весит" 640Кб.
P.P.S. Как мне относиться к такому предупреждению AVZ4:
"8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)" ?
В списке служб \Мой компьютер - Управление - Службы\ я нашёл лишь некоторые из перечисленных.
Последний раз редактировалось AnVaCher; 04.07.2012 в 21:07.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: