-
Зайцеву Олегу и остальным
Спасибо Зайцеву!
Хочу поделиться с народом моей историей.
Я обыкновенный пользователь, столкнулся с тем, с чем сталкивается каждый человек пользующийся Internet - вирусы!
Ситуация следующая – Internet Explorer 6.0, старый Norton и Firewall от Agnitum.
И вот однажды началось - при загрузке стартовой страницы Explorer вместе с ней загружает ещё несколько: какую-то порнушку, буржуйский магазин и много ещё чего.
При переходе по ссылкам опять же грузилась разная дрянь - работать стало невозможно.
Иногда мышка переставала функционировать, иногда компьютер издавал различные непотребные звуки – всё это очень напрягало.
Я понял – ещё чуть-чуть и комп крякнет.
Приобрёл Антивирус Касперского Personal Pro 5.0.156 и Panda Platinum и обновил
Firewall - поставил пробную версию Agnitum Outpost Firewall ver.2.1.
Сначала проверил Касперским – убил пять троянов, затем просканировал Pandой – ничего не найдено.
Бил в ладоши пока не обновил антивирусные базы – в Temporary Internet Files нашелся TrojanDownloader.JS.Psyme.w, и Касперский ничего сделать с ним не может.
Начал искать в Сети информацию по вирусам данного вида. По какой-то ссылке зашёл на сайт z-oleg.com., как будто там есть утилита убивающая TrojanDownloader.
Нахожу утилиту avz-1.05 – качаю без особой надежды (халява она и есть халява), открываю, и вижу – информационное поле, как в карточной игре “1000”, инсталяшки нету, “Помощи” практически нет – что за антивирус такой?!
Очень расстроился! Ну что делать – запускаю программу. Через несколько минут вылез отчёт, не читая его (большая ошибка) я удаляю программу и вырубаю комп.
На следующий день проверяю Касперским Мой компьютер, в надежде что
TrojanDownloader сам помер, удивляюсь слыша звук окончания проверки, а не мерзкое ржание сдыхающей кобылы, которое означает наличие вируса.
Смотрю отчёт - “обнаружено вирусов-0”.
Ну, всё думаю - надо нести сдавать системник на лечение.
Ещё один шанс – перезагрузка, Касперский, и снова - “обнаружено вирусов-0”.
Минут десять думаю, от чего же помер TrojanDownloader.JS.Psyme.w, не от сквозняков же!
Потом вспоминаю про невзрачную утилиту avz.
Всё восстанавливаю и запускаю маленький антивирус, с галкой напротив “Удалять найденные вирусы”. Смотрю отчёт – найдено и успешно удалены 8 (!) вирусов.
Вот они:
c:\Program Files\FlashGet\BACKUP\cd_install277.exe>>>>> Вирус !! AdvWare.Cydoor успешно удален
c:\WINDOWS\SYSTEM32\CD_CLINT.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
c:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.ocx>>>>> Вирус !! AdvWare.MediaTickets успешно удален
c:\WINDOWS\Downloaded Program Files\MediaTicketsInstaller.INF>>>>> Вирус !! AdvWare.MediaTickets успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP74\A0076441.inf>>>>> Вирус !! TrojanDownloader.Win32.Small.or успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP146\A0096793.dll>>>>> Вирус !! Spy.SAHAgent успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP155\A0097187.exe>>>>> Вирус !! AdvWare.Cydoor успешно удален
c:\System Volume Information\_restore{797C0AD0-1D10-466C-91D5-3062A7EF75B4}\RP155\A0097188.DLL>>>>> Вирус !! AdvWare.Cydoor успешно удален
Просканировано файлов: 19822, найдено вирусов 8
Я немного не в себе – Касперский ничего не обнаруживал, а avz-1.05 нашёл и убил 8 вирусов.
Я не могу объяснить, почему при первом сканировании не были удалены эти 8 вирусов, но факт остаётся фактом – в дальнейшем ни Касперский, ни avz-1.05 ничего не обнаруживали.
Сначала думал Касперский не пашет – загрузил тестовый вирус с сайта eicar.com, и проверил Касперским – тот нашёл и убил все тестовые вирусы, выходит Касперский работает.
Остаётся поверить в то, что антивирусная утилита avz-1.05 весом около 400 (кб) способна обнаруживать и успешно удалять вредоносные программы, которые не обнаруживает Антивирус Касперского Personal Pro 5.0.
Ещё раз хочу сказать, что я не являюсь специалистом в области компьютерной безопасности, может быть, я много не понимаю или мои действия были неадекватны, но по прошествии 2-х суток обе программы не обнаруживают ни каких вредоносных программ (постучим по дереву)!
И за это хочется сказать большое человеческое СПАСИБО Зайцеву Олегу!
P.S. Пользуясь случаем хотелось задать несколько вопросов , может быть Вы (или участники) мне сможете пояснить:
-***почему Касперский не обнаружил эти 8 вирусов?
-***когда avz-1.05 проверяет систему, в отчёте пишется, что просканировано около 20000 файлов, однако Касперский проверяет около 127000 объектов, почему такая большая разница?
-***когда Касперский проверяет систему, несколько файлов (около 40 шт.) защищены паролем, и доступа к ним нет, т.е. они не проверяются, хотя я ни каких паролей не ставил и первый раз слышу о таких файлах, файл выглядит так: C:\Documents and Settings\All Users\Application Data\Spybot-Search & Destroy\Recovery\DSOExploit13.zip\sbRecovery.reg, не подскажите, что это?
-***я скачал Вашу утилиту aps – сразу же возникло несколько вопросов:
- - может ли aps корректно работать вместе с Agnitum Outpost Firewall;
- - что предпочтительней – aps или Agnitum Outpost Firewall, на Ваш взгляд и
можно ли их сравнивать в принципе?
-*** последний вопрос по Firewall : с вирусами кажется разобрался, но нехорошие сайты как грузились, так и грузятся, в настройках есть закладка “Содержимое”,
блокировал и по адресу, и по содержимому – помогло мало, сайты
загружаются, только на некоторых ссылка – содержимое не отображается из-за
настроек, может есть смысл переустановить Firewall?
а если поставить Opera вместо IE, как вы думаете?
Спасибо всем, кто дочитал до конца это длиннющее послание, отдельное спасибо тем кто ответил на мои вопросы.
Михаил.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Re:Зайцеву Олегу и остальным
от ad-aware поставь расширенные базы касперскому , а лучше пользуйся ad-aware Se и Spybot S&D ;D
-
-
Re:Зайцеву Олегу и остальным
Сообщение от
fox
от ad-aware поставь расширенные базы касперскому , а лучше пользуйся ad-aware Se и Spybot S&D ;D
И всё это может не помочь
Касперу, кстати, Олег отправил наверное не одну сотню неизвестных ему "зверей" Ну и я пару десятков тоже.
-
-
Re:Зайцеву Олегу и остальным
Сообщение от
Geser
И всё это может не помочь
Касперу, кстати, Олег отправил наверное не одну сотню неизвестных ему "зверей"
Ну и я пару десятков тоже.
254 штуки (плюс/минус 10) Но SpyWare я ему посылаю редко, как правило я шлю ему именно троянов, Backdoor ... то, что действительно опасно
-
-
Re:Зайцеву Олегу и остальным
Сообщение от
mike
P.S. Пользуясь случаем хотелось задать несколько вопросов , может быть Вы (или участники) мне сможете пояснить:
1.***почему Касперский не обнаружил эти 8 вирусов?
2.***когда avz-1.05 проверяет систему, в отчёте пишется, что просканировано около 20000 файлов, однако Касперский проверяет около 127000 объектов, почему такая большая разница?
3.***когда Касперский проверяет систему, несколько файлов (около 40 шт.) защищены паролем, и доступа к ним нет, т.е. они не проверяются, хотя я ни каких паролей не ставил и первый раз слышу о таких файлах, файл выглядит так: C:\Documents and Settings\All Users\Application Data\Spybot-Search & Destroy\Recovery\DSOExploit13.zip\sbRecovery.reg, не подскажите, что это?
4***я скачал Вашу утилиту aps – сразу же возникло несколько вопросов:
4.1 может ли aps корректно работать вместе с Agnitum Outpost Firewall;
4.2 что предпочтительней – aps или Agnitum Outpost Firewall, на Ваш взгляд и можно ли их сравнивать в принципе?
4.3*** последний вопрос по Firewall : с вирусами кажется разобрался, но нехорошие сайты как грузились, так и грузятся, в настройках есть закладка “Содержимое”,
блокировал и по адресу, и по содержимому – помогло мало, сайты
загружаются, только на некоторых ссылка – содержимое не отображается из-за
настроек, может есть смысл переустановить Firewall?
а если поставить Opera вместо IE, как вы думаете?
Спасибо всем, кто дочитал до конца это длиннющее послание, отдельное спасибо тем кто ответил на мои вопросы.
Отвечаю по пунктам - я для этого им номера расставил
1. Это вопрос к Касперскому, особенно по поводу TrojanDownloader. AdvWare с нормальной базой он не ловит, а вот TrojanDownloader - обязан
2. AVZ проверяет только файлы, расширение которых задано в его базе (exe, dll, cab, htm/html, sys ...), AVP проверяет все. Кроме того, AVZ не проверяет содержимое архивов - это объясняет разницу в количестве проверенных файлов
3. Это файл, защищенный паролем. Многие разработчики ПО наивно полагают, что можно "секретные" данные держать в архиве типа zip (или иного распространенного формата) с паролем, чтобы их никто оттуда не извлек . Отсюда и запароленные архивы (в данном примере Spybot-Search & Destroy именно так и поступает - он хранит некие данные в архиве zip под паролем)
4.1 Да, может - это же по сути ее основное назначение
4.2 FAQ по APS - http://z-oleg.com/secur/aps-faq.htm - там первой позицией стоит "Может ли утилита APS заменить Firewall" Но я повторюсь - это очень важно - НЕТ, не может APS - это имитатор сервиса, автоответчик. Он слушает наиболее часто атакуемые порты и имитирует ответы сервисов (как правило просто посылкой типовой сигнатуры или бредутины). При нармально работающем Firewall APS должен молчать, если он вопит - это сигнал о том, что Firewall не работает или неправильно настроен ...
4.3 Тут Firewall особенно помочь не может ... единственный способ избежать загрузки нехорших сайтов - это не ходить на них Главная задача Firewall - защитить компьютер от доступа извне и разрешить обмен с сетью определенным программмам и только по разрешенным портам.
-
-
Re:Зайцеву Олегу и остальным
Олег, скажите пожалуйста, я пытаюсь скачать вашу утилиту AVZ-1.05, по ссылкам в кадете, но не могу, может потому, что у меня стоит Opera, когда нажимаешь КАЧАТЬ. он просто выдает, что нельзя найти такой адрес.Может можно как то еще?
У меня стоит Outpost, AntiVir, но чувствую, что маловато,надо проверить, в свое время у меня был взлом и накидали кучу дерьма, что комп просто отказал. Пришлось все делать заноаво. Я только пользователь, но обучающийся. Буду очень благодарна. Nika.
-
Re:Зайцеву Олегу и остальным
Сообщение от
Nika
Олег, скажите пожалуйста, я пытаюсь скачать вашу утилиту AVZ-1.05, по ссылкам в кадете, но не могу, может потому, что у меня стоит Opera, когда нажимаешь КАЧАТЬ. он просто выдает, что нельзя найти такой адрес.Может можно как то еще?
Так ссылка не на программу там, а на сайт. Нужно сначала зайти сюда http://z-oleg.com/secur/avz.htm а там уже скачать последнюю версию
-
-
Re:Зайцеву Олегу и остальным
Geser, так я выхожу на это, когда нажимаю - качать
372кб, то мге ответ, в виде табличке , что программа не найдена. Что делать? Получается замкнутый круг. спасибо.
-
Re:Зайцеву Олегу и остальным
Сообщение от
Nika
Geser, так я выхожу на это, когда нажимаю - качать
372кб, то мге ответ, в виде табличке , что программа не найдена. Что делать? Получается замкнутый круг. спасибо.
Очень странно. У всех скачивается ???
Ок, возьми тут http://www.virusinfo.info/tmp/avz.zip
-
-
Re:Зайцеву Олегу и остальным
Geser, большущее спасибо, получилось, просканировала - вот ответ, это нормально?
Сканирование запущено в 15.11.2004 10:29:15
В базе 6443 сигнатур вирусов
1. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 294
Проверка памяти завершена
2. Сканирование диска
c:\Program Files\WinRAR\Rar.exe.bak - PE файл с нестандартным расширением
c:\Program Files\WinRAR\WinRar.exe.bak - PE файл с нестандартным расширением
c:\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением
Просканировано файлов: 10463, найдено вирусов 0
Сканирование завершено в 15.11.2004 10:33:06
С уважением Nika. P.S.еmail от Вас?
-
Re:Зайцеву Олегу и остальным
Сообщение от
Nika
Geser, большущее спасибо, получилось, просканировала - вот ответ, это нормально?
Сканирование запущено в 15.11.2004 10:29:15
В базе 6443 сигнатур вирусов
1. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 294
Проверка памяти завершена
2. Сканирование диска
c:\Program Files\WinRAR\Rar.exe.bak - PE файл с нестандартным расширением
c:\Program Files\WinRAR\WinRar.exe.bak - PE файл с нестандартным расширением
c:\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением
Просканировано файлов: 10463, найдено вирусов 0
Сканирование завершено в 15.11.2004 10:33:06
С уважением Nika. P.S.еmail от Вас?
По поводу предупреждений это вопрос к Олегу.
еmail от меня, но там атчмент зарезал почтовый антивирус фирмы. Файл ему чем-то не понравился.
-
-
Re:Зайцеву Олегу и остальным
Geser, спасибо. Nika.
-
Re:Зайцеву Олегу и остальным
Сообщение от
Nika
Geser, большущее спасибо, получилось, просканировала - вот ответ, это нормально?
Сканирование запущено в 15.11.2004 10:29:15
В базе 6443 сигнатур вирусов
1. Проверка памяти
Количество найденных процессов: 29
Количество загруженных модулей: 294
Проверка памяти завершена
2. Сканирование диска
c:\Program Files\WinRAR\Rar.exe.bak - PE файл с нестандартным расширением
c:\Program Files\WinRAR\WinRar.exe.bak - PE файл с нестандартным расширением
c:\WINDOWS\system32\winlogon.bak - PE файл с нестандартным расширением
Просканировано файлов: 10463, найдено вирусов 0
Сканирование завершено в 15.11.2004 10:33:06
С уважением Nika. P.S.еmail от Вас?
Это означает, что используется "активированные" Windows XP SP1 и WinRar Просто AVZ видит PE файлы со странными именами и информирует об этом пользователя. Опасности это не представляет
-
-
Re:Зайцеву Олегу и остальным
Олег, спасибо, успокоили и спасибо за хорошую утилиту, она мне понравилась, и проста в обращении - это для таких чайников, как я, но качественно!
-
Re:Зайцеву Олегу и остальным
Хочу выразить благодарность Олегу за его разработку. Не далее как 5мин. назад изящно почистил комп. работника. (некий WinAd.....). Спасибо. При появлении коммерческого продукта - готовы рассмотреть вопрос о сотрудничестве.
-
-
Re:Зайцеву Олегу и остальным
просканировав комп SpyBot, он мне выдал :
1. Ошибка во время проверки:Cabrotor(Datei C:\WINDOWS\win.ini kann nicht geoffnet werden. Процесс не может получить доступ к файлу, т.к. этот файл занят другим процессом)
2.DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-21-1993962763-2077806209-725345543-1003\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-20\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\S-1-5-19\Software\Microsoft\Windows\CurrentVersion\Inter net Settings\Zones\0\1004!=W=3
DSO Exploit: Data source object exploit (Изменение реестра, nothing done)
HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\Cur rentVersion\Internet Settings\Zones\0\1004!=W=3
Но что интересно, если нахожу, то версии до ...\1003 и все, дальше ничего нет, пробую по- другому найти, как только набираю HKEY...., сразу пишет комп, что нет доступа и файл нельзя открыть, объясните пож, что это может быть? Спасибо. Nika.***
-
Re:Зайцеву Олегу и остальным
Причину этой проблемы с DSO Exploit уже называли здесь: http://virusinfo.info/index.php?boar...y;threadid=237
Сообщение от
Andrey
Под данную дыру существовал эксплойт (ссылку на него не помню, см. надо в Informations Available SpyBoot'а рядом с обнаруженным эксплойтом). На пропатченой Wind'е эксплойт не работает. SpyBoot будет ругаться до тех пор, пока вручную не удалить записи в реестре.
Я вижу 2 варианта решения проблемы с DSO Exploit :
1. Зайти в редактор реестра и изменить там соответствующие значения. (не рекомендуется неопытным пользователям)
2. Скачать рег. файл DSOfix.reg, который я только что написал для решения Вашей проблемы. Просто запустите его и добавьте информацию оттуда в реестр. Скачать его можно здесь. После этого SpyBot должен перестать ругаться на наличие DSO Exploit.
-
-
Re:Зайцеву Олегу и остальным
kps, спасибо. Я зашла в реестре (первый раз) и удалила по ссылкам этот \1004\ и четырех дерикториях, а в пятой он пропал сам, и поставила заплатку. После этого Спайбот перестал ругаться. С вами я научусь грамотно работать. Еще раз большое всем спасибо.У вас,действительно, очень полезный и помогающий сайт.Nika.
-
Re:Зайцеву Олегу и остальным
Привет!
Установила Ad-aware проверилась и один файл вылез:
Windows Vulnerability HKEY_CLASSES_ROOT:regfile\shell\open\command
"" (""regedit.exe" "%1")
Удалять боюсь. Что за адрес?
-
-
Re:Зайцеву Олегу и остальным
Сообщение от
Olga
Привет!
Установила Ad-aware проверилась и один файл вылез:
Windows Vulnerability HKEY_CLASSES_ROOT:regfile\shell\open\command
"" (""regedit.exe" "%1")
Удалять боюсь. Что за адрес?
Ерунда все это ... указанный ключ является совершенно стандартным для системы ключом реестра, удалять его нельзя (он связывает файлы с расширением reg с редактором реестра)
-