Показано с 1 по 13 из 13.

Зараза поселилась...основательно (заявка № 8264)

  1. #1
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40

    Exclamation Зараза поселилась...основательно

    Dr.Web4.33, F-Prot, NOD 32, KAV6.0, NIS 5-6.0, AVAST4.7 HOME...Прошу помощи зала! За последние полтора года мной использовались перечисленные антивирусники в разном порядке. А также в дополнение к ним несколько файрволлов.
    +Полгода использую AD-Watch.

    Каждый из антивирей периодически что-то находил (статистику веду около 3-х месяцев), в основном, сразу же после их установки. Впоследствии благополучно значки антивир программ из системного трея исчезали. Только Каспер длительное время ругался на PEACOMM.

    Переустановка WinXP SP2 помогает ненадолго. Очевидно, в инсталяшках используемых мной программ зараза живетЪ.
    Винда периодически "восстанавливается после серьёзной ошибки".

    Просмотрел свои логи AVZ и HiJackThis. Каспера снёс месяц как уже, а он еще среди процессов вместе с туда же ушедшим Нортоном болтается.
    Вложения Вложения
    Последний раз редактировалось Tiberius; 05.03.2007 в 11:05.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    Признаков заражения нет.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Остатки KAV можно выкорчевать их же утилитой - брать с их сайта.

  5. #4
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40
    Спасибо!!
    Последний раз редактировалось Tiberius; 06.03.2007 в 02:09.

  6. #5
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40
    Спасибо всем тем кто откликнулся и просмотрел логи!

    Вношу поправку в данные (извините за невнимательность к ПРАВИЛАМ) - обновил АВЗ только что (вечная нехватка времени и "хороший" провайдер) - новые логи.

    На всякий случай выкладываю список уже учтённых и удалённых зверей (я надеюсь).

    1.Это нашел НИС 5 после снесения КАВ 6 (на что КАВ не реагировал никак во время трудов своих)
    BLA.TROJAN.HORSE
    HACKTOOL
    TROJAN.Startpage
    HACKTOOL.PWcrack
    TROJAN.Peacomm (с этим представителем НИС так и не справился, и после снесения НИСа энный значит гуляет где-то, т.к. ни Авира ни Аваст его не нашли)

    2.Просто нашел свои записи о найденной заразе(Не помню какой антивирь находил, Авира, возможно)
    Backdoor.Graybird
    Bloodhound.Exploit.22

    3.А на данный момент Аваст обнаружил и держит в хранилище
    Win32:Agent-CVR
    Win32:Agent-CNU -2шт, причем один в файле который я года 2 не запускал, а второй в папке Систем Волюм Информэйшн
    Win32:Rbot-BUC

    по поводу 4-х последних - данные в инете про них только на нескольких ни русско- ни англоязычных сайтах.

    Для полноты картины - использую кряканый ЭксПи СП2. На хранившиеся на винте кряки сначала грязно выругался КАВ(на первую)и грохнул ее, затем НИС на вторую с тем же результатом. Система ставилась одна и та же около 2-х лет. Напоминания об обновлениях Винды отключаются руками сразу же после установки.

    Утилиту Др.Вэб КурэИт скачать не удалось - на 99%-ах указано - "ошибка закачки".

    И еще, подскажте, пожалуйста, должен ли значек антивиря всегда висеть в системном трее или нет? Вчера после установки АВАСТ демонстрировал мне 2 своих значка в трее - сегодня их нет.Та же ситуация была и с Др Вэбом и Авирой и НИСом. КАВ трудился постоянно.

    Ещё раз благодарю за помощь!
    Вложения Вложения

  7. #6
    Junior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    06.09.2006
    Сообщений
    5,658
    Вес репутации
    1815
    У меня ощущение, что просто останки антивирусов мешают друг другу.
    [I]Nick Golovko
    NCFU lecturer, information security specialist[/I]

  8. #7
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40
    Спасибо!!! Будем выкорчевывать!!!
    А что считаете по поводу хранилища АВАСТа?

  9. #8
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40

    Результаты проверки Spyware Doctor v.4.0

    Scan Results:
    scan start: 06.03.2007 22:36:13
    scan stop: 06.03.2007 22:45:43
    scanned items: 147175
    found items: 27
    found and ignored: 0
    tools used: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner



    Infection Name Location Risk
    Advertising C:\Documents and Settings\Aeaen\Cookies\aeaen@adriver[1].txt Low
    CWS C:\Documents and Settings\Aeaen\Cookies\aeaen@banner.kiev[1].txt Low
    Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@go.mail[1].txt Low
    Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@m.webtrends[2].txt Low
    Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@mail[2].txt Low
    Known Bad Sites C:\Documents and Settings\Aeaen\Cookies\aeaen@warlog[2].txt Low
    Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@yadro[1].txt Low
    Keylog-sters C:\Documents and Settings\Aeaen\Cookies\aeaen@yandex[1].txt Low
    Keylog-sters C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\cycounter[1].gif Low
    Trojan.Downloader.Zdown C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\files_all[1].htm High
    Trojan.Downloader.Zdown C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\ms04[1].gif High
    Keylog-sters C:\Documents and Settings\Aeaen\Eca?aiiia\antivirus\?ndex Nea?aou aeaeeioaee dr.web (1375).url Low
    Keylog-sters C:\Documents and Settings\Aeaen\Eca?aiiia\nauki\?iaaen.Eaoaeia Iaaeoeineea yioeeeiiaaee.url Low
    CWS C:\Documents and Settings\Aeaen\Eca?aiiia\telephon\smart60.kiev.ua symbian, uiq, windows mobile + se. Ea?u, i?ia?aiiu, oeeuiu, oaiu, o?eoou, eieae!.url Low
    Trojan.Kapod C:\Program Files\Alcohol Soft\Alcohol 120\alcohol_activator.exe High
    Trojan.Popuper C:\Program Files\UltraISO\PATCH.EXE High
    Trojan.Popuper E:\Temp\ULTRAISO_8.20.1669__RUS\CRACK\PATCH.EXE High
    Trojan.Kapod G:\Install\Programs\Alcohol 120\alcohol_activator.exe High
    Backdoor.Agent G:\Install\Programs\Files&Texts\Fine Reader 8.0 Pro\Crack\patch.exe High
    Trojan.Popuper G:\Install\Programs\ULTRAISO_8.20.1669__RUS\CRACK\ PATCH.EXE High
    Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} High
    Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}## High
    Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore High
    Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore## High
    Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Count High
    Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Time High
    Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Type High


    Как я понимаю, это всё туфта?
    Ни АВАСТ, ни теперешний КАВ на это не реагировали....

    Во время работы в сети было сообщение об ошибке #Generic Host Process for Win 32#, после чего пропало окошко состояния хода подключения к инету.
    ?
    Последний раз редактировалось Tiberius; 07.03.2007 в 23:48.

  10. #9
    Visiting Helper Репутация Репутация Аватар для Кто?
    Регистрация
    07.04.2006
    Адрес
    Владивосток
    Сообщений
    104
    Вес репутации
    44
    Цитата Сообщение от Tiberius Посмотреть сообщение

    Во время работы в сети было сообщение об ошибке #Generic Host Process for Win 32#, после чего пропало окошко состояния хода подключения к инету.
    ?
    Это старая тема:
    Проблема связана с несколькими уязвимостями системной службы 'Server' при работе в сети под системами Windows XP SP1/SP2. Для устранения данной проблемы пользователям одиночных машин (т.е. компьютеры которых не связаны с др. машинами локальной сеткой) необходимо проделать следующее: нажимаете комбинацию клавиш Microsoft+R (пояснение: 'Microsoft' - клавиша с изображением фирменного значка Микрософт); в появившемся окошке с командной строкой набираете текст msconfig и жмете 'ОК'; в открывшемся окне заходите в закладку 'Службы' и убираете галочки с пунктов 'Сервер' и 'Рабочая станция'; перезагружаете компьютер и в появившемся окне с сообщением ставите галочку и жмете 'ОК'. Произведенные изменения никак не скажутся на работоспособности Интернет-коннекта или чего-либо др. Внимание! Важно! Если Ваш компьютер связан с др. машинами локальной сетью и содержит общие папки и файлы, к которым должны иметь доступ остальные участники локальной группы, или же Ваш компьютер выполняет роль сервера-маршрутизатора для подключения др. машин к Интернет-сети, то указанные службы отключать нельзя, т.к. это приведет к неработоспособности локальных соединений. В этом случае для устранения вышеописанной проблемы Вам необходимо скачать с сайта Микрософт и установить у себя на компьютере патчи с номерами KB921883 и KB923414.

  11. #10
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40

    Надеюсь, хоть сейчас добавлю ответ с логами...

    ...вкратце - многое не в норме, в карантине АВЗ появились файлы - дополнительные скрипты не выполнял.
    Спасибо! мсконфиг системой не найден - логи прикрепить не могу - ОШИБКА ЗАГРУЗКИ и всё тут!
    Последний раз редактировалось Tiberius; 11.03.2007 в 00:06.

  12. #11
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40
    ...прикол...прямо при переходе с одной страницы форума на другую появилось сообщение о том что все куки успешно удалены.

    и в Ад-Аваре
    появилось это - 10.03.2007 23:26:25 - Обнаружена модификация регистра
    Корневая:HKEY_CURRENT_USER
    Ключ:Software\Microsoft\Internet Explorer\Main
    Значение: Local Page
    Дата:C:\WINDOWS\system32\blank.htm
    Новая дата:\blank.htm

    ???????????

    P.S.логи прикрепить не мог

    Некоторые отчёты КАВ :

    обнаружено: потенциально опасное ПО Invader Процесс: C:\Documents and Settings\Алекс\Local Settings\Temp\_iu14D2N.tmp
    обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\cmd.exe
    обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\net.exe
    обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\wscntfy.exe
    обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\control.exe
    обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\dumprep.exe
    Последний раз редактировалось Tiberius; 11.03.2007 в 14:38.

  13. #12
    Junior Member Репутация
    Регистрация
    04.03.2007
    Сообщений
    16
    Вес репутации
    40
    может, получится с логами
    Вложения Вложения

  14. #13
    Visiting Helper Репутация Репутация Репутация Репутация
    Регистрация
    08.04.2005
    Сообщений
    129
    Вес репутации
    50
    Лично меня сильно смущает то, что Ati2evxx.dll загружается через Winlogon Notify. Даже если это не маскирующийся под драйвер зловред, а легитимный драйвер - все равно, на мой взгляд, ему там не место.

    Рекомендую, во-первых, прислать этот файл на проверку согласно приложению 2 правил, во-вторых, проверить, не требуется ли обновление видеодрайверов.

  • Уважаемый(ая) Tiberius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 14
      Последнее сообщение: 22.02.2009, 09:42
    2. Поселилась какая-то зараза..
      От snn_nik в разделе Помогите!
      Ответов: 8
      Последнее сообщение: 22.02.2009, 06:27
    3. Зараза
      От joniscoolkz в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.02.2009, 02:16
    4. Стал зависать компьютер и основательно
      От wolf-zver в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 12.01.2009, 23:52
    5. Похоже поселилась какая-то зараза...
      От MGM в разделе Помогите!
      Ответов: 12
      Последнее сообщение: 11.06.2007, 15:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01132 seconds with 17 queries