Консультация о состоянии компьютера.

[Toledo]

Добрый День,
Win XP SP2 стоит около 2 лет (не перестанавливал ни разу, критические обновления - устанавливаю), проблем не было.
Чистка ПК от "мусора" - регулярно.
I-Net использую постоянно. За это время поймал штук 10 разной заразы..
Жалоб на меня также не поступало.
Стоит KAV (сейчас 7.0.1.321) - базы обновляются регулярно.
Также стоят и периодически использую (обновляю, естественно - регулярно):
1. Spybot - Search & Destroy (1.5.2.20)
2. AVZ (4.29)
3. Ad-Aware2007
Также стоит ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)

Поскольку стоит "Проверка критических областей" в KAV - ежедневно, вчера - "поросячий визг"- вирус Worm.Win32.AutoRun.cqf Файл: C:\WINDOWS\system32\autorun.exe . Естественно - удалил (в резервное хранилище).
Позже ещё раз проверил "критические области" - чисто,
Проверил Spybot - Search & Destroy - чисто,
Проверил AVZ (4.29) (только C:\WINDOWS с максимальными настройками) - C:\WINDOWS\system32\drivers\GetBinFile.SYS - Trojan-Spy.Win32.Banker.dvp - удалил в карантин.
(я не утверждаю, что KAV - не нашёл, так как были минимальные промежутки между запусками , но такие факты)
Отключил восстановление системы, запустил полную Полную проверку KAV - чисто.
За исключением:

обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.M SI//Cabs.w1.cab/samdump.dll1
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.M SI//Cabs.w1.cab/pwservice.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\Common Files\Wise Installation Wizard\WIS1EFAF4929A3B48C39349234B146FDA46_5_0_4.M SI//Cabs.w1.cab/pwservice.exe3
обнаружено: потенциально опасное ПО not-a-virus:AdTool.Win32.WhenU.a Файл: C:\Program Files\DAEMON Tools\SetupDTSB.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2 Файл: C:\Program Files\LCP\Data\pwdump2-orig\samdump.dll
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\LCP\Data\pwdump3\pwservice.exe
обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.3 Файл: C:\Program Files\LCP\Data\pwdump3e\pwservice.exe

Но это - обнаруживается всегда (я так понимаю - реакция KAV на SAMInside, DAEMON Tools, LCP)

Никаких сбоев/явных проблем с текущими установленными програмами, подозрительного трафика за всё время - не было, нет, и обнаружено не было. (Может быть некоторая "тормознутость" I-Net в последние два-три дня, но это очень субъективно, быть может провайдер/конкретные сайты)

Большая просьба посмотреть прилагаемые файлы на предмет "моих неприятностей" (так у AVZ есть - "предположения")
Так как "система " стоит давно и много что ставилось, убиралось и чистилось.

С Уважением к Вашему нелёгкому труду...

P.S. всё сделал по инструкции -все приложения закрыл, даже использовал утилиту - EndItAll.
P.P.S. на форуме kaspersky.ru , также предлагается выслать лог GetSystemInfo. Лог снял, но требования - нет и высылать его я не стал, если надо - вышлю.

[Bratez]

В принципе ничего подозрительного в логах не видно...

Ограничения пользователю касательно IE и панели управления сами ставили?

[Toledo]

В принципе ничего подозрительного в логах не видно...
Ограничения пользователю касательно IE и панели управления сами ставили?

Да, вероятно сам (сейчас в FireFox), надо ещё внимательно посмотреть ...
Я сначала запрещал всё, что можно (и IE через DropMyRights запускал)...

А, извиняюсь, как проверить есть в файле вирус или нет?
AVZ удалил два файла в Infected:
C:\WINDOWS\system32\drivers\GetBinFile.SYS - Trojan-Spy.Win32.Banker.dvp
C:\Program Files\EPOX\EPTP\GetBINFile.SYS - Trojan-Spy.Win32.Banker.dvp
(Кстати по поводу AVZ, прошу прощения, в моем посте следует читать не в карантин а в Ifected.)
И ещё два файла в карантин. Итого - 4 подозрительных файла.

В AVZ указано отправить подозрительные файлы присылать: [email protected]
Так?

С Уважением..,

[V_Bond]

подозрительные файлы можно еще загрузить сюда ... http://virusinfo.info/upload_virus.php?tid=18533

[Toledo]

Всё-таки "решился" послать файлы Вам, 3 файла,

Антивирус Каперского (7.0.1.321 (базы свежие) ничего не определил.
Утилита AVZ 4.29 (базы свежие) определила 4 файла:
Были отправлены в карантин 2 файла :
UsrClass.dat - высылаю
C:\Documents and Settings\NetworkService\Local Settings\Application Data\Microsoft\Windows\UsrClass.dat.tmp - Подозрение на Trojan.WinREG.Zapchast.e (00032A56 00000000 00000000 00000000 8192)
wlinject.exe - выслать не могу KAV при проверке файла ничего не определяет НО создать архив не даёт (Вирус (модификация) Password-protected-exe). Этот файл при подведении курсора определяется как элемент ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)
C:\WINDOWS\system32\wlinject.exe - ЭПС: Подозрение на опасно - отладчик процесса "winlogon.exe" (высокая степень вероятности)

Были отправлены в Infected 2 файла определились как Trojan-Spy.Win32.Banker.dvp (но в разных местах):
C:\Program Files\EPOX\EPTP\GetBINFile.sys
C:\WINDOWS\system32\drivers\GetBinFile.SYS
быть может это элемент программного обеспечения Epox (материнская плата) EPTP (мониторинг вольтажа и т.д...)? (я правда им редко пользуюсь)


Послал не сразу после последнего сообщения, так как посылал запрос на [email protected] (дважды). Но к сожалению ответа не получил...

С Уважением..,


P.S. Ещё раз уточню - никаких странностей не заметил.
Эти файлы можно восстановить к иcпользованию (в случае отсутствия "заразы")?

[wise-wistful]

АВЗ оригиналы файлов никуда не девает, а просто снимает с них копию и помещает в карантин, так что если они чисты, то восстанавливать ничего не нужно, файлы и так все на своих местах, разве что папку карантина почистите, что бы меньше мусора было на диске.

[Toledo]

АВЗ оригиналы файлов никуда не девает, а просто снимает с них копию и помещает в карантин, так что если они чисты, то восстанавливать ничего не нужно, файлы и так все на своих местах, ...

НЕТ.

"Карантин - папка с копиями подозрительных объектов"
Файлы - UsrClass.dat и wlinject.exe на диске есть.

"Infected - папка с копиями удалённых вредоносных объектов"
Файлы:
C:\Program Files\EPOX\EPTP\GetBINFile.sys
C:\WINDOWS\system32\drivers\GetBinFile.SYS
на диске отсутствуют . После нажатия кнопки "восстановить" указанные файлы появились в указанных директориях.


С Уважением..,

[rubin]

GetBinFile.sys
No malicious code was found in this file.

Видимо ложное срабатывание AVZ... восстановили? ну и ладно

[Toledo]

Ещё, если можно вопрос:
Периодически запускаю в AVZ 4.29 "Мастер поиска и устранения проблем"
Постоянно обнаруживалось только одно:
> Обнаружен отладчик системного процесса
- вероятно (??!) это ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)

Вчера запустил
Уточнение: перед эти пытался запустить EPTP - EPox Thunder Probe - программное обеспечения Epox (материнская плата) - мониторинг вольтажа и т.д... НО поскольку AVZ 4.29 удалил файл GetBinFile.SYS - ПО не запустилось и вывалилось несколько ошибок.

и получил ответ:
"Мастер поиска и устранения проблем" -> "Системные проблемы":
> Обнаружен отладчик системного процесса
> Разрешён автозапуск с HDD
> Разрешён автозапуск с сетевых дисков
> Разрешён автозапуск с CD ROM
> Разрешён автозапуск cо сменных носителей
> Отключено автоматическое обновление системы (Windows Update)

Что сказать не знаю -
1. Автоматическое обновление системы (Windows Update) у меня всегда было отключено.
2. В BIOS разрешена загрузка только с HDD (1 штука)
3. По поводу CD ROM в реестре также прописано:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autor *un -> значение 0

*В утилите xp-AntySpy также указан запрет автозапуска с CD ROM
*Физически проверил - (например диск "Игромании")
Файл AUTORUN.INF
[autorun]
open=disk_new_vm.exe
icon=MANIA.ICO

Диск вставил -> никакого автозапуска. В процессе обращения - работает KAV - всё как обычно.

Что это может быть?
Переустановить AVZ 4.29 или последовать совету -> "Исправить отмеченные проблемы"?

С Уважением..,

[rubin]

То, что AVZ выводит как проблему - это не значит, что это 100% реальная проблема для Вашего компьютера...

Отключили обновление сами - это опасно, avz и сигнализирует, но раз сделали сами - как пожелаете...

Про автозапуск - http://virusinfo.info/showthread.php?t=16459

[Toledo]

...
Отключили обновление сами - это опасно, avz и сигнализирует, но раз сделали сами - как пожелаете...
Про автозапуск - http://virusinfo.info/showthread.php?t=16459

1. Меня больше заинтересовало/забеспокоило почему AVZ сейчас сделал такое предупреждение (хотя я ничего не делал и всё так и было раньше (надеюсь))
2. А тут я немного в растерянности:
* лучше выполнить http://virusinfo.info/showthread.php?t=16459
плюс http://virusinfo.info/showpost.php?p=172515&postcount=2
* или последовать совету -> "Исправить отмеченные проблемы" в "Мастер поиска и устранения проблем?
* или ничего не делать так автозапуск с CD ROM - и так отсутствует (или я что-то не понял ?)
* И как это "заблокировать автозапуск на HDD" ? а загрузка Win ? (прошу прощения за "возможно очевидные" вопросы)
* В BIOS же всё отключено
> Разрешён автозапуск с сетевых дисков
> Разрешён автозапуск cо сменных носителей
Или опять что-не так...
* И как "откатить" всё назад (после выполнения скриптов?) -> "Отмена изменений" -> "Мастер поиска и устранения проблем" ?


С Уважением..,

p.s. И что будет, если вдруг AVZ ошибся и у меня нет указанных проблем, а я выполню скрипты/"Исправлю отмеченные проблемы"?

[rubin]

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RebootWindows(true);
end.

Это отключение автозапуска с CD

Код:

procedure DisableAutorun;
begin
 // Блокировка автозапуска (0x1 + 0x4 + 0x8 + 0x10 + 0x40 + 0x80 - отключили все типа, кроме CD)
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
 // Блокировка автозапуска (0x4) - заблокировали автозапуск на C:
 RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveAutoRun', 4);
end;
 
begin
 DisableAutorun;
end.

Это отключение со съемных носителей и харда...


Второй скрипт равноценен исправлению проблем:
> Разрешён автозапуск с HDD
> Разрешён автозапуск cо сменных носителей

Меня больше заинтересовало/забеспокоило почему AVZ сейчас сделал такое предупреждение (хотя я ничего не делал и всё так и было раньше (надеюсь))

Он начал определять это лишь с недавних обновлений

И как "откатить" всё назад (после выполнения скриптов?) -> "Отмена изменений" -> "Мастер поиска и устранения проблем" ?

Да

то будет, если вдруг AVZ ошибся и у меня нет указанных проблем, а я выполню скрипты/"Исправлю отмеченные проблемы"?

Ничего не будет плохого

Добавлено через 1 минуту

* И как это "заблокировать автозапуск на HDD" ? а загрузка Win ? (прошу прощения за "возможно очевидные" вопросы)

загрузка Windows с этим не связана и не пострадает

[SDA]

В качестве необязательной рекомендации посоветую - удалить Spybot - Search & Destroy и Ad-Aware2007. Вполне достаточно KAV и AVZ, при их наличии необходимости присутствия в системе Spybot - Search & Destroy и Ad-Aware2007 не вижу. Меньше программ безопасности стабильнее ОС.

[Toledo]

Во-первых благодарю всех за помощь! (увы так быстро и квалифицированно очень редко встретишь...)

В качестве необязательной рекомендации посоветую - удалить Spybot - Search & Destroy и Ad-Aware2007. Вполне достаточно KAV и AVZ, при их наличии необходимости присутствия в системе Spybot - Search & Destroy и Ad-Aware2007 не вижу. Меньше программ безопасности стабильнее ОС.

Ad-Aware2007 удалил без сожаления (крайне редко пользуюсь), к сожалению "накосячил" перед удалением - не остановил службу... теперь она присутствует в качестве остановленной...

Spybot - Search & Destroy как-то жалко - проверяю им иногда, регулярно обновляю его базу "не рекомендованных хостов"...да и FileShredder,ом пользуюсь регулярно....

О Главном..

На всякий случай установил с сайта "свежую" версию AVZ ("старую" удалил как рекомендовано - по скрипту )
1. "Скрипт для отключения всего кроме запуска с СД:" http://virusinfo.info/showpost.php?p=172531&postcount=1
Без проблем -> перезагрузки не потребовало, повторная проверка -> ОК
2. " Скрипт для отключения автозапуска с CD" http://virusinfo.info/showpost.php?p=172515&postcount=2
выполнил -> OK, перезагрузка, проверка -> Разрешён автозапуск с CD ROM
Перезагрузка -> " Скрипт для отключения автозапуска с CD" -> выполнил -> OK, перезагрузка, проверка -> Разрешён автозапуск с CD ROM
То есть - бестолку...
последовал совету -> "Исправить отмеченные проблемы" в "Мастер поиска и устранения проблем? , отметил - выполнил, OK, прверка -> ОК
* поверил реестр - всё как и было раньше прописано:
HKLM\SYSTEM\CurrentControlSet\Services\CDRom\Autor un -> значение 0

Это как - "глюк" или некая особенность?

С Уважением..,

p.s.

Проблему -> Обнаружен отладчик системного процесса
Я устранять не стал, так как я понял - это лемент ViPNet Personal Firewall (Компания InfoTeCS http://infotecs.ru/)

[rubin]

Это как - "глюк" или некая особенность?

Видимо он проверяет не только этот ключ... но и еще какой-то

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 4
• Обработано файлов: 4
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\spooler.exe - Trojan-Downloader.Win32.Small.jge