Добрый День,
Win XP SP2 стоит около 2 лет (не перестанавливал ни разу, критические обновления - устанавливаю), проблем не было.
Чистка ПК от "мусора" - регулярно.
I-Net использую постоянно. За это время поймал штук 10 разной заразы..
Жалоб на меня также не поступало.
Стоит KAV (сейчас 7.0.1.321) - базы обновляются регулярно.
Также стоят и периодически использую (обновляю, естественно - регулярно):
1. Spybot - Search & Destroy (1.5.2.20)
2. AVZ (4.29)
3. Ad-Aware2007
Также стоит ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)
Поскольку стоит "Проверка критических областей" в KAV - ежедневно, вчера - "поросячий визг"- вирус Worm.Win32.AutoRun.cqf Файл: C:\WINDOWS\system32\autorun.exe . Естественно - удалил (в резервное хранилище).
Позже ещё раз проверил "критические области" - чисто,
Проверил Spybot - Search & Destroy - чисто,
Проверил AVZ (4.29) (только C:\WINDOWS с максимальными настройками) - C:\WINDOWS\system32\drivers\GetBinFile.SYS - Trojan-Spy.Win32.Banker.dvp - удалил в карантин.
(я не утверждаю, что KAV - не нашёл, так как были минимальные промежутки между запусками , но такие факты)
Отключил восстановление системы, запустил полную Полную проверку KAV - чисто.
За исключением:
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.M SI//Cabs.w1.cab/samdump.dll1
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.M SI//Cabs.w1.cab/pwservice.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.M SI//Cabs.w1.cab/pwservice.exe3
обнаружено: потенциально опасное ПО not-a-virus:AdTool.Win32.WhenU.a Файл: C:\Program Files\DAEMON Tools\SetupDTSB.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2 Файл: C:\Program Files\LCP\Data\pwdump2-orig\samdump.dll
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\LCP\Data\pwdump3\pwservice.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\LCP\Data\pwdump3e\pwservice.exe
Но это - обнаруживается всегда (я так понимаю - реакция KAV на SAMInside, DAEMON Tools, LCP)
Никаких сбоев/явных проблем с текущими установленными програмами, подозрительного трафика за всё время - не было, нет, и обнаружено не было. (Может быть некоторая "тормознутость" I-Net в последние два-три дня, но это очень субъективно, быть может провайдер/конкретные сайты)
Большая просьба посмотреть прилагаемые файлы на предмет "моих неприятностей" (так у AVZ есть - "предположения")
Так как "система " стоит давно и много что ставилось, убиралось и чистилось.
С Уважением к Вашему нелёгкому труду...
P.S. всё сделал по инструкции -все приложения закрыл, даже использовал утилиту - EndItAll.
P.P.S. на форуме kaspersky.ru , также предлагается выслать лог GetSystemInfo. Лог снял, но требования - нет и высылать его я не стал, если надо - вышлю.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
В принципе ничего подозрительного в логах не видно...
Ограничения пользователю касательно IE и панели управления сами ставили?
Да, вероятно сам (сейчас в FireFox), надо ещё внимательно посмотреть ...
Я сначала запрещал всё, что можно (и IE через DropMyRights запускал)...
А, извиняюсь, как проверить есть в файле вирус или нет?
AVZ удалил два файла в Infected:
C:\WINDOWS\system32\drivers\GetBinFile.SYS - Trojan-Spy.Win32.Banker.dvp
C:\Program Files\EPOX\EPTP\GetBINFile.SYS - Trojan-Spy.Win32.Banker.dvp
(Кстати по поводу AVZ, прошу прощения, в моем посте следует читать не в карантин а в Ifected.)
И ещё два файла в карантин. Итого - 4 подозрительных файла.
В AVZ указано отправить подозрительные файлы присылать: [email protected]
Так?
Антивирус Каперского (7.0.1.321 (базы свежие) ничего не определил.
Утилита AVZ 4.29 (базы свежие) определила 4 файла: Были отправлены в карантин 2 файла : UsrClass.dat - высылаю
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.tmp - Подозрение на Trojan.WinREG.Zapchast.e (00032A56 00000000 00000000 00000000 8192) wlinject.exe - выслать не могу KAV при проверке файла ничего не определяет НО создать архив не даёт (Вирус (модификация) Password-protected-exe). Этот файл при подведении курсора определяется как элемент ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)
C:\WINDOWS\system32\wlinject.exe - ЭПС: Подозрение на опасно - отладчик процесса "winlogon.exe" (высокая степень вероятности)
Были отправлены в Infected 2 файла определились как Trojan-Spy.Win32.Banker.dvp (но в разных местах):
C:\Program Files\EPOX\EPTP\GetBINFile.sys
C:\WINDOWS\system32\drivers\GetBinFile.SYS
быть может это элемент программного обеспечения Epox (материнская плата) EPTP (мониторинг вольтажа и т.д...)? (я правда им редко пользуюсь)
Послал не сразу после последнего сообщения, так как посылал запрос на [email protected] (дважды). Но к сожалению ответа не получил...
С Уважением..,
P.S. Ещё раз уточню - никаких странностей не заметил.
Эти файлы можно восстановить к иcпользованию (в случае отсутствия "заразы")?
Последний раз редактировалось Toledo; 02.03.2008 в 03:11.
АВЗ оригиналы файлов никуда не девает, а просто снимает с них копию и помещает в карантин, так что если они чисты, то восстанавливать ничего не нужно, файлы и так все на своих местах, разве что папку карантина почистите, что бы меньше мусора было на диске.
АВЗ оригиналы файлов никуда не девает, а просто снимает с них копию и помещает в карантин, так что если они чисты, то восстанавливать ничего не нужно, файлы и так все на своих местах, ...
НЕТ.
"Карантин - папка с копиями подозрительных объектов"
Файлы - UsrClass.dat и wlinject.exe на диске есть.
"Infected - папка с копиями удалённых вредоносных объектов"
Файлы:
C:\Program Files\EPOX\EPTP\GetBINFile.sys
C:\WINDOWS\system32\drivers\GetBinFile.SYS
на диске отсутствуют . После нажатия кнопки "восстановить" указанные файлы появились в указанных директориях.
С Уважением..,
Последний раз редактировалось Toledo; 02.03.2008 в 05:19.
Ещё, если можно вопрос:
Периодически запускаю в AVZ 4.29 "Мастер поиска и устранения проблем"
Постоянно обнаруживалось только одно:
> Обнаружен отладчик системного процесса
- вероятно (??!) это ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)
Вчера запустил
Уточнение: перед эти пытался запустить EPTP - EPox Thunder Probe - программное обеспечения Epox (материнская плата) - мониторинг вольтажа и т.д... НО поскольку AVZ 4.29 удалил файл GetBinFile.SYS - ПО не запустилось и вывалилось несколько ошибок.
и получил ответ:
"Мастер поиска и устранения проблем" -> "Системные проблемы":
> Обнаружен отладчик системного процесса
> Разрешён автозапуск с HDD
> Разрешён автозапуск с сетевых дисков
> Разрешён автозапуск с CD ROM
> Разрешён автозапуск cо сменных носителей
> Отключено автоматическое обновление системы (Windows Update)
Что сказать не знаю -
1. Автоматическое обновление системы (Windows Update) у меня всегда было отключено.
2. В BIOS разрешена загрузка только с HDD (1 штука)
3. По поводу CD ROM в реестре также прописано:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autor *un -> значение 0
*В утилите xp-AntySpy также указан запрет автозапуска с CD ROM
*Физически проверил - (например диск "Игромании")
Файл AUTORUN.INF
[autorun]
open=disk_new_vm.exe
icon=MANIA.ICO
Диск вставил -> никакого автозапуска. В процессе обращения - работает KAV - всё как обычно.
Что это может быть?
Переустановить AVZ 4.29 или последовать совету -> "Исправить отмеченные проблемы"?
1. Меня больше заинтересовало/забеспокоило почему AVZ сейчас сделал такое предупреждение (хотя я ничего не делал и всё так и было раньше (надеюсь))
2. А тут я немного в растерянности:
* лучше выполнить http://virusinfo.info/showthread.php?t=16459
плюс http://virusinfo.info/showpost.php?p=172515&postcount=2
* или последовать совету -> "Исправить отмеченные проблемы" в "Мастер поиска и устранения проблем?
* или ничего не делать так автозапуск с CD ROM - и так отсутствует (или я что-то не понял ?)
* И как это "заблокировать автозапуск на HDD" ? а загрузка Win ? (прошу прощения за "возможно очевидные" вопросы)
* В BIOS же всё отключено
> Разрешён автозапуск с сетевых дисков
> Разрешён автозапуск cо сменных носителей
Или опять что-не так...
* И как "откатить" всё назад (после выполнения скриптов?) -> "Отмена изменений" -> "Мастер поиска и устранения проблем" ?
С Уважением..,
p.s. И что будет, если вдруг AVZ ошибся и у меня нет указанных проблем, а я выполню скрипты/"Исправлю отмеченные проблемы"?
В качестве необязательной рекомендации посоветую - удалить Spybot - Search & Destroy и Ad-Aware2007. Вполне достаточно KAV и AVZ, при их наличии необходимости присутствия в системе Spybot - Search & Destroy и Ad-Aware2007 не вижу. Меньше программ безопасности стабильнее ОС.
Во-первых благодарю всех за помощь! (увы так быстро и квалифицированно очень редко встретишь...)
Сообщение от SDA
В качестве необязательной рекомендации посоветую - удалить Spybot - Search & Destroy и Ad-Aware2007. Вполне достаточно KAV и AVZ, при их наличии необходимости присутствия в системе Spybot - Search & Destroy и Ad-Aware2007 не вижу. Меньше программ безопасности стабильнее ОС.
Ad-Aware2007 удалил без сожаления (крайне редко пользуюсь), к сожалению "накосячил" перед удалением - не остановил службу... теперь она присутствует в качестве остановленной...
Spybot - Search & Destroy как-то жалко - проверяю им иногда, регулярно обновляю его базу "не рекомендованных хостов"...да и FileShredder,ом пользуюсь регулярно....
О Главном..
На всякий случай установил с сайта "свежую" версию AVZ ("старую" удалил как рекомендовано - по скрипту )
1. "Скрипт для отключения всего кроме запуска с СД:" http://virusinfo.info/showpost.php?p=172531&postcount=1
Без проблем -> перезагрузки не потребовало, повторная проверка -> ОК
2. " Скрипт для отключения автозапуска с CD" http://virusinfo.info/showpost.php?p=172515&postcount=2
выполнил -> OK, перезагрузка, проверка -> Разрешён автозапуск с CD ROM
Перезагрузка -> " Скрипт для отключения автозапуска с CD" -> выполнил -> OK, перезагрузка, проверка -> Разрешён автозапуск с CD ROM
То есть - бестолку... последовал совету -> "Исправить отмеченные проблемы" в "Мастер поиска и устранения проблем? , отметил - выполнил, OK, прверка -> ОК
* поверил реестр - всё как и было раньше прописано:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autor un -> значение 0
Это как - "глюк" или некая особенность?
С Уважением..,
p.s.
Проблему -> Обнаружен отладчик системного процесса
Я устранять не стал, так как я понял - это лемент ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: