Привет всем! Прошу о помощи - всякая бяка лезе непрерывно.
Антивирь Symantec Corporate Ed. Зафиксировал Downloader.Trojan A0080814.DLL в C:\System Volume Information\_restore{665F7314-4139-4590-B83E-798FE3716D42}\RP357\. Почистила, так он дал клоны, опять удалила. Что еще сделать, чтобы не появлялся больше? И вот еще в систему что-то залезло, в Windows\System32, которое идентифицируется в AVZкак H@tKeysH@@k.DLL, удалить Avz не может из-за настроек. ЧТо делать? логи отправила.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
в HiajckThis пофиксите строки:Сообщение от memorex
R3 - URLSearchHook: (no name) - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - (no file)
R3 - URLSearchHook: (no name) - _{855F3B16-6D32-4fe6-8A56-BBB695989046} - (no file)
O2 - BHO: (no name) - {D2CAFC8B-0C3F-4AD8-AB05-3460AE1E39FC} - (no file)
O8 - Extra context menu item: &Search - http://bar.mywebsearch.com/menusearc...p=ZRxdm185YYKZ
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache...p1.0.0.8-2.cab
O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.4.0_03) -
O16 - DPF: {CAFEEFAC-0014-0000-0003-ABCDEFFEDCBA} (Java Runtime Environment 1.4.0_03) -
O18 - Protocol: bt2 - {1730B77B-F429-498F-9B15-4514D83C8294} - (no file)
O18 - Filter: application/x-bt2 - {6E1DDCE8-76BC-4390-9488-806E8FB1AD77} - (no file)
файл прислать на проверку по правилам форума:
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp
C:\Program Files\NoAdware4\noadwareutils.dll
не понятно, зачем нужен Nuke Nabber - в системе он выглядит лишним
Norton Antivirus лучше поменять на что-то более серьезное
У меня не Norton, а Symantec Antivirus Corporate Edition. Нортон был, я его уже давно убрала. Nuke Nabber советовал провайдер в виде защиты от нюкеров.
А какой антивирь принципиально лучше?
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp вдруг загадочным образом исчез.
а :\Program Files\NoAdware4\noadwareutils.dll
не могу загрузить в форум,сообщение, что некорректный сайт.
H@tKeysH@@k.DLL относится к категории RiskWare, чтобы удалить его в AVZ нужно поставить птичку "выполнать лечение" и для категории RiskWare выбрать в качестве действия удаление. Затем просканировать систему.
Если не получается отправить файл на https://virusinfo.info/upload_virus.php пришлите его на [email protected] в запароленном архиве. Также поищите и пришлите как описано в правилах:
C:\Recycled\1.exe
Если не сложно, сделайте это: http://virusinfo.info/index.php?page=upload_clean
Нортон и Симантек - одно и то же.
"говорим "Ленин" - подразумеваем "партия", говорим "партия" - подразумеваем "Ленин"". так и здесь то же самое.
у Вас файервол стоит Outpost, он гораздо лучше и делает даже больше того, что умеет НюкНаббер. так что НюкНаббера можете выкинуть.
тем более что атака Nuke вашей ОС (WinXP) не грозит.
рекомендую что-то из Kaspersky, DrWeb, Nod32, Vba32.
ищите лучше, через программу AVZ.
просто так ничего не исчезает.
правила форума читать надо! отправляйте файлы как Вам посоветовал HATTIFNATTOR
Я бы ещё BitDefender добавил.
C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp вдруг загадочным образом исчез.
это AVZ.SYS, лог делался с противодействием руткитам
тогда вопрос к Олегу: может пора сделать так, чтобы AVZ знал хотя бы себя??? а то постоянно AVZ висит в списке "грязных" файлов в исследовании системы.
Нет, не слишком похоже это на avz.sys:Я бы ещё BitDefender добавил.
- не совпадает длина, у avz.sys - больше;
- avz.sys грузится в "исходном виде" (т.е. именно как avz.sys, а не иначе - если, конечно, Олег ничего не переделал в последнее время - полагаю, что нет);
- avz.sys, насколько я понимаю, исключается из списка "незнакомых" драйверов...
Последний раз редактировалось aintrust; 09.03.2006 в 13:19.
aintrust прав все три раза - avz.sys грузится как есть, из каталога AVZ и без переименования, и он естественно распознается как безопасный. Есть подозрение, что mc21.tmp - это что-то типа EXE/DLL, хранимой внутри какого-то приложения. Я подобное поведение десятки раз наблюдал на вполне безопасных программах
однозначно.
а по поводу безопасности - пусть даже и безопасная, так все равно не помешает в базу чистых добавить, чтобы больше такие записи нас не смущали
Да как же этот "объект" добавить в базу безопасных, если каждый раз он создается (или же может создаваться) с новым именем?
а кто же их добавляет в базу по имениДа как же этот "объект" добавить в базу безопасных, если каждый раз он создается (или же может создаваться) с новым именем?
Да, действительно, перечитал еще раз - мое сообщение трудно не понять двусмысленно...а кто же их добавляет в базу по имени
Нет, тут имелось ввиду несколько другое: "объект" каждый раз временно (вот ключевое слово, которое я упустил в предыдущем сообщении) создается с новым именем, что затрудняет его добавление в базу (именно из-за временности, а не из-за нового имени, естественно), т.к., в большинстве случаев, после того момента, как "объектом" воспользовалась (к примеру, загрузила его в качестве драйвера) программа, его создавшая, этот "объект" (файл) физически удаляется (хотя при этом продолжает существовать в памяти) - в результате время жизни "объекта" на диске может составлять несколько десятков миллисекунд, что сильно затрудняет нахождение такого "объекта". Так, к примеру, поступает большинство утилит от Sysinternals, загружающих драйверы (Process Explorer, к примеру, или Rootkit Revealer). Если бы "объект" существовал хотя бы в течение времени жизни программы, его породившей, имея при этом неизменное имя, это (в некоторой степени, конечно) позволило бы облегчить его нахождение и последующее включение в базы "чистых" файлов.
Последний раз редактировалось aintrust; 09.03.2006 в 21:20.
а что, утилиты восстановления удаленных файлов уже отменили?
Это и не слишком надежно, и, по сути, бессмысленно для описанной мною выше ситуации...а что, утилиты восстановления удаленных файлов уже отменили?
В большинстве случаев все эти временно загружаемые объекты легко "выдираются" из файлов многочисленными утилитами для работы с ресурсами (ResHacker, к примеру) - только вряд ли обычный пользователь (а мы ведь говорим именно о нем) станет этим заниматься (впрочем, как и предлагаемым вами восстановлением файлов).
PS. По-моему, уже пошел полный офф-топик, пора завязывать...
Последний раз редактировалось aintrust; 09.03.2006 в 22:35.
впрочем, пользователь и не будет добавлять его к антивирусной базе.
с чего мы начали? с того, что подгружаемые файлы трудно добавить в базу безопасных. чем мы закончили? тем что они без проблем выдираются редактором ресурсов. а о чем вообще тогда весь разговор? ну раз легко выдираются - так нужно добавлять!
Хм... мне это казалось очевидным.
Начали мы с того, что обычному пользователю "подгружаемые файлы трудно добавить в базу безопасных" (а, точнее, найти на диске и отослать такие файлы для обработки и последующего включения в базу чистых), а закончили (я надеюсь!
Тем более, что ещё надо знать, откуда из выдирать.
компетентность Олега уже под вопросом?
если попадается легальный софт с такими дропами, то и подбрасываемые файлы добавляются базу и перестают светиться в логах. что тут вообще обсуждать? зачем тут инсинуации про обучение юзеров выдиранию ресурсов из файла, упакованного полиморфным упаковщиком???
В компетентности Олега никто не сомневается. Это у меня непонятки - глядя на имя C:\DOCUME~1\ServiceP\LOCALS~1\Temp\mc21.tmp, никак не могу собразить, в сторону какого именно легального софта надлежит поворотить голову.
Уважаемый(ая) memorex, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
