Привет всем! Прошу о помощи - всякая бяка лезе непрерывно.
Антивирь Symantec Corporate Ed. Зафиксировал Downloader.Trojan A0080814.DLL в C:\System Volume Information\_restore{665F7314-4139-4590-B83E-798FE3716D42}\RP357\. Почистила, так он дал клоны, опять удалила. Что еще сделать, чтобы не появлялся больше? И вот еще в систему что-то залезло, в Windows\System32, которое идентифицируется в AVZкак H@tKeysH@@k.DLL, удалить Avz не может из-за настроек. ЧТо делать? логи отправила.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
У меня не Norton, а Symantec Antivirus Corporate Edition. Нортон был, я его уже давно убрала. Nuke Nabber советовал провайдер в виде защиты от нюкеров.
А какой антивирь принципиально лучше?
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp вдруг загадочным образом исчез.
а :\Program Files\NoAdware4\noadwareutils.dll
не могу загрузить в форум,сообщение, что некорректный сайт.
H@tKeysH@@k.DLL относится к категории RiskWare, чтобы удалить его в AVZ нужно поставить птичку "выполнать лечение" и для категории RiskWare выбрать в качестве действия удаление. Затем просканировать систему.
Если не получается отправить файл на https://virusinfo.info/upload_virus.php пришлите его на [email protected] в запароленном архиве. Также поищите и пришлите как описано в правилах:
C:\Recycled\1.exe
У меня не Norton, а Symantec Antivirus Corporate Edition. Нортон был, я его уже давно убрала.
Нортон и Симантек - одно и то же.
"говорим "Ленин" - подразумеваем "партия", говорим "партия" - подразумеваем "Ленин"". так и здесь то же самое.
Сообщение от memorex
Nuke Nabber советовал провайдер в виде защиты от нюкеров.
у Вас файервол стоит Outpost, он гораздо лучше и делает даже больше того, что умеет НюкНаббер. так что НюкНаббера можете выкинуть.
тем более что атака Nuke вашей ОС (WinXP) не грозит.
Сообщение от memorex
А какой антивирь принципиально лучше?
рекомендую что-то из Kaspersky, DrWeb, Nod32, Vba32.
Сообщение от memorex
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp вдруг загадочным образом исчез.
ищите лучше, через программу AVZ.
просто так ничего не исчезает.
Сообщение от memorex
а :\Program Files\NoAdware4\noadwareutils.dll
не могу загрузить в форум,сообщение, что некорректный сайт.
правила форума читать надо! отправляйте файлы как Вам посоветовал HATTIFNATTOR
это AVZ.SYS, лог делался с противодействием руткитам
тогда вопрос к Олегу: может пора сделать так, чтобы AVZ знал хотя бы себя??? а то постоянно AVZ висит в списке "грязных" файлов в исследовании системы.
это AVZ.SYS, лог делался с противодействием руткитам
Нет, не слишком похоже это на avz.sys:
- не совпадает длина, у avz.sys - больше;
- avz.sys грузится в "исходном виде" (т.е. именно как avz.sys, а не иначе - если, конечно, Олег ничего не переделал в последнее время - полагаю, что нет );
- avz.sys, насколько я понимаю, исключается из списка "незнакомых" драйверов...
Последний раз редактировалось aintrust; 09.03.2006 в 13:19.
тогда вопрос к Олегу: может пора сделать так, чтобы AVZ знал хотя бы себя??? а то постоянно AVZ висит в списке "грязных" файлов в исследовании системы.
aintrust прав все три раза - avz.sys грузится как есть, из каталога AVZ и без переименования, и он естественно распознается как безопасный. Есть подозрение, что mc21.tmp - это что-то типа EXE/DLL, хранимой внутри какого-то приложения. Я подобное поведение десятки раз наблюдал на вполне безопасных программах
Да, действительно, перечитал еще раз - мое сообщение трудно не понять двусмысленно... Хотя то, что "объекты" добавляются в базу по имени, я вроде и не писал...
Нет, тут имелось ввиду несколько другое: "объект" каждый раз временно (вот ключевое слово, которое я упустил в предыдущем сообщении) создается с новым именем, что затрудняет его добавление в базу (именно из-за временности, а не из-за нового имени, естественно), т.к., в большинстве случаев, после того момента, как "объектом" воспользовалась (к примеру, загрузила его в качестве драйвера) программа, его создавшая, этот "объект" (файл) физически удаляется (хотя при этом продолжает существовать в памяти) - в результате время жизни "объекта" на диске может составлять несколько десятков миллисекунд, что сильно затрудняет нахождение такого "объекта". Так, к примеру, поступает большинство утилит от Sysinternals, загружающих драйверы (Process Explorer, к примеру, или Rootkit Revealer). Если бы "объект" существовал хотя бы в течение времени жизни программы, его породившей, имея при этом неизменное имя, это (в некоторой степени, конечно) позволило бы облегчить его нахождение и последующее включение в базы "чистых" файлов.
Последний раз редактировалось aintrust; 09.03.2006 в 21:20.
Нет, тут имелось ввиду несколько другое: "объект" каждый раз временно (вот ключевое слово, которое я упустил в предыдущем сообщении) создается с новым именем, что затрудняет его добавление в базу (именно из-за временности, а не из-за нового имени, естественно), т.к., в большинстве случаев, после того момента, как "объектом" воспользовалась (к примеру, загрузила его в качестве драйвера) программа, его создавшая, этот "объект" (файл) физически удаляется (хотя при этом продолжает существовать в памяти) - в результате время жизни "объекта" на диске может составлять несколько десятков миллисекунд, что сильно затрудняет нахождение такого "объекта".
а что, утилиты восстановления удаленных файлов уже отменили?
а что, утилиты восстановления удаленных файлов уже отменили?
Это и не слишком надежно, и, по сути, бессмысленно для описанной мною выше ситуации...
В большинстве случаев все эти временно загружаемые объекты легко "выдираются" из файлов многочисленными утилитами для работы с ресурсами (ResHacker, к примеру) - только вряд ли обычный пользователь (а мы ведь говорим именно о нем) станет этим заниматься (впрочем, как и предлагаемым вами восстановлением файлов).
PS. По-моему, уже пошел полный офф-топик, пора завязывать...
Последний раз редактировалось aintrust; 09.03.2006 в 22:35.
В большинстве случаев все эти временно загружаемые объекты легко "выдираются" из файлов многочисленными утилитами для работы с ресурсами (ResHacker, к примеру) - только вряд ли обычный пользователь (а мы ведь говорим именно о нем) станет этим заниматься (впрочем, как и предлагаемым вами восстановлением файлов).
впрочем, пользователь и не будет добавлять его к антивирусной базе.
с чего мы начали? с того, что подгружаемые файлы трудно добавить в базу безопасных. чем мы закончили? тем что они без проблем выдираются редактором ресурсов. а о чем вообще тогда весь разговор? ну раз легко выдираются - так нужно добавлять!
впрочем, пользователь и не будет добавлять его к антивирусной базе.
с чего мы начали? с того, что подгружаемые файлы трудно добавить в базу безопасных. чем мы закончили? тем что они без проблем выдираются редактором ресурсов. а о чем вообще тогда весь разговор? ну раз легко выдираются - так нужно добавлять!
Хм... мне это казалось очевидным.
Начали мы с того, что обычному пользователю "подгружаемые файлы трудно добавить в базу безопасных" (а, точнее, найти на диске и отослать такие файлы для обработки и последующего включения в базу чистых), а закончили (я надеюсь! ) тем, что продвинутому пользователю или профи это легко сделать, выдрав редактором ресурсов. Проблема только в том, что жалуются и просят помощи (смотрите исходное сообщение в этой ветке) именно те самые обычные пользователи, которые не станут ни "выдирать" эти файлы, ни восстанавливать их.
Тем более, что ещё надо знать, откуда из выдирать.
компетентность Олега уже под вопросом?
если попадается легальный софт с такими дропами, то и подбрасываемые файлы добавляются базу и перестают светиться в логах. что тут вообще обсуждать? зачем тут инсинуации про обучение юзеров выдиранию ресурсов из файла, упакованного полиморфным упаковщиком???
В компетентности Олега никто не сомневается. Это у меня непонятки - глядя на имя C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp, никак не могу собразить, в сторону какого именно легального софта надлежит поворотить голову.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: