Dr.Web4.33, F-Prot, NOD 32, KAV6.0, NIS 5-6.0, AVAST4.7 HOME...Прошу помощи зала! За последние полтора года мной использовались перечисленные антивирусники в разном порядке. А также в дополнение к ним несколько файрволлов.
+Полгода использую AD-Watch.
Каждый из антивирей периодически что-то находил (статистику веду около 3-х месяцев), в основном, сразу же после их установки. Впоследствии благополучно значки антивир программ из системного трея исчезали. Только Каспер длительное время ругался на PEACOMM.
Переустановка WinXP SP2 помогает ненадолго. Очевидно, в инсталяшках используемых мной программ зараза живетЪ.
Винда периодически "восстанавливается после серьёзной ошибки".
Просмотрел свои логи AVZ и HiJackThis. Каспера снёс месяц как уже, а он еще среди процессов вместе с туда же ушедшим Нортоном болтается.
Последний раз редактировалось Tiberius; 05.03.2007 в 11:05.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Спасибо всем тем кто откликнулся и просмотрел логи!
Вношу поправку в данные (извините за невнимательность к ПРАВИЛАМ) - обновил АВЗ только что (вечная нехватка времени и "хороший" провайдер) - новые логи.
На всякий случай выкладываю список уже учтённых и удалённых зверей (я надеюсь).
1.Это нашел НИС 5 после снесения КАВ 6 (на что КАВ не реагировал никак во время трудов своих)
BLA.TROJAN.HORSE
HACKTOOL
TROJAN.Startpage
HACKTOOL.PWcrack
TROJAN.Peacomm (с этим представителем НИС так и не справился, и после снесения НИСа энный значит гуляет где-то, т.к. ни Авира ни Аваст его не нашли)
2.Просто нашел свои записи о найденной заразе(Не помню какой антивирь находил, Авира, возможно)
Backdoor.Graybird
Bloodhound.Exploit.22
3.А на данный момент Аваст обнаружил и держит в хранилище
Win32:Agent-CVR
Win32:Agent-CNU -2шт, причем один в файле который я года 2 не запускал, а второй в папке Систем Волюм Информэйшн
Win32:Rbot-BUC
по поводу 4-х последних - данные в инете про них только на нескольких ни русско- ни англоязычных сайтах.
Для полноты картины - использую кряканый ЭксПи СП2. На хранившиеся на винте кряки сначала грязно выругался КАВ(на первую)и грохнул ее, затем НИС на вторую с тем же результатом. Система ставилась одна и та же около 2-х лет. Напоминания об обновлениях Винды отключаются руками сразу же после установки.
Утилиту Др.Вэб КурэИт скачать не удалось - на 99%-ах указано - "ошибка закачки".
И еще, подскажте, пожалуйста, должен ли значек антивиря всегда висеть в системном трее или нет? Вчера после установки АВАСТ демонстрировал мне 2 своих значка в трее - сегодня их нет.Та же ситуация была и с Др Вэбом и Авирой и НИСом. КАВ трудился постоянно.
Scan Results:
scan start: 06.03.2007 22:36:13
scan stop: 06.03.2007 22:45:43
scanned items: 147175
found items: 27
found and ignored: 0
tools used: General Scanner, Process Scanner, LSP Scanner, Startup Scanner, Registry Scanner, Hosts Scanner, Browser Scanner, Browser Activity Scanner, Disk Scanner, ActiveX Scanner
Infection Name Location Risk
Advertising C:\Documents and Settings\Aeaen\Cookies\aeaen@adriver[1].txt Low
CWS C:\Documents and Settings\Aeaen\Cookies\[email protected][1].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\[email protected][1].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\[email protected][2].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@mail[2].txt Low
Known Bad Sites C:\Documents and Settings\Aeaen\Cookies\aeaen@warlog[2].txt Low
Tracking Cookie(s) C:\Documents and Settings\Aeaen\Cookies\aeaen@yadro[1].txt Low
Keylog-sters C:\Documents and Settings\Aeaen\Cookies\aeaen@yandex[1].txt Low
Keylog-sters C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\cycounter[1].gif Low
Trojan.Downloader.Zdown C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\files_all[1].htm High
Trojan.Downloader.Zdown C:\Documents and Settings\Aeaen\Local Settings\Temporary Internet Files\Content.IE5\K5MNWP6J\ms04[1].gif High
Keylog-sters C:\Documents and Settings\Aeaen\Eca?aiiia\antivirus\?ndex Nea?aou aeaeeioaee dr.web (1375).url Low
Keylog-sters C:\Documents and Settings\Aeaen\Eca?aiiia\nauki\?iaaen.Eaoaeia Iaaeoeineea yioeeeiiaaee.url Low
CWS C:\Documents and Settings\Aeaen\Eca?aiiia\telephon\smart60.kiev.ua symbian, uiq, windows mobile + se. Ea?u, i?ia?aiiu, oeeuiu, oaiu, o?eoou, eieae!.url Low
Trojan.Kapod C:\Program Files\Alcohol Soft\Alcohol 120\alcohol_activator.exe High
Trojan.Popuper C:\Program Files\UltraISO\PATCH.EXE High
Trojan.Popuper E:\Temp\ULTRAISO_8.20.1669__RUS\CRACK\PATCH.EXE High
Trojan.Kapod G:\Install\Programs\Alcohol 120\alcohol_activator.exe High
Backdoor.Agent G:\Install\Programs\Files&Texts\Fine Reader 8.0 Pro\Crack\patch.exe High
Trojan.Popuper G:\Install\Programs\ULTRAISO_8.20.1669__RUS\CRACK\ PATCH.EXE High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A} High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}## High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore## High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Count High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Time High
Xpehbam.biz dialer HKCU\Software\Microsoft\Windows\CurrentVersion\Ext \Stats\{3F5A62E2-51F2-11D3-A075-CC7364CAE42A}\iexplore##Type High
Как я понимаю, это всё туфта?
Ни АВАСТ, ни теперешний КАВ на это не реагировали....
Во время работы в сети было сообщение об ошибке #Generic Host Process for Win 32#, после чего пропало окошко состояния хода подключения к инету.
?
Последний раз редактировалось Tiberius; 07.03.2007 в 23:48.
Во время работы в сети было сообщение об ошибке #Generic Host Process for Win 32#, после чего пропало окошко состояния хода подключения к инету.
?
Это старая тема:
Проблема связана с несколькими уязвимостями системной службы 'Server' при работе в сети под системами Windows XP SP1/SP2. Для устранения данной проблемы пользователям одиночных машин (т.е. компьютеры которых не связаны с др. машинами локальной сеткой) необходимо проделать следующее: нажимаете комбинацию клавиш Microsoft+R (пояснение: 'Microsoft' - клавиша с изображением фирменного значка Микрософт); в появившемся окошке с командной строкой набираете текст msconfig и жмете 'ОК'; в открывшемся окне заходите в закладку 'Службы' и убираете галочки с пунктов 'Сервер' и 'Рабочая станция'; перезагружаете компьютер и в появившемся окне с сообщением ставите галочку и жмете 'ОК'. Произведенные изменения никак не скажутся на работоспособности Интернет-коннекта или чего-либо др. Внимание! Важно! Если Ваш компьютер связан с др. машинами локальной сетью и содержит общие папки и файлы, к которым должны иметь доступ остальные участники локальной группы, или же Ваш компьютер выполняет роль сервера-маршрутизатора для подключения др. машин к Интернет-сети, то указанные службы отключать нельзя, т.к. это приведет к неработоспособности локальных соединений. В этом случае для устранения вышеописанной проблемы Вам необходимо скачать с сайта Микрософт и установить у себя на компьютере патчи с номерами KB921883 и KB923414.
...вкратце - многое не в норме, в карантине АВЗ появились файлы - дополнительные скрипты не выполнял.
Спасибо! мсконфиг системой не найден - логи прикрепить не могу - ОШИБКА ЗАГРУЗКИ и всё тут!
Последний раз редактировалось Tiberius; 11.03.2007 в 00:06.
...прикол...прямо при переходе с одной страницы форума на другую появилось сообщение о том что все куки успешно удалены.
и в Ад-Аваре
появилось это - 10.03.2007 23:26:25 - Обнаружена модификация регистра
Корневая:HKEY_CURRENT_USER
Ключ:Software\Microsoft\Internet Explorer\Main
Значение: Local Page
Дата:C:\WINDOWS\system32\blank.htm
Новая дата:\blank.htm
???????????
P.S.логи прикрепить не мог
Некоторые отчёты КАВ :
обнаружено: потенциально опасное ПО Invader Процесс: C:\Documents and Settings\Алекс\Local Settings\Temp\_iu14D2N.tmp
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\cmd.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\net.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\wscntfy.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\control.exe
обнаружено: потенциально опасное ПО Invader Процесс: C:\WINDOWS\System32\dumprep.exe
Последний раз редактировалось Tiberius; 11.03.2007 в 14:38.
Лично меня сильно смущает то, что Ati2evxx.dll загружается через Winlogon Notify. Даже если это не маскирующийся под драйвер зловред, а легитимный драйвер - все равно, на мой взгляд, ему там не место.
Рекомендую, во-первых, прислать этот файл на проверку согласно приложению 2 правил, во-вторых, проверить, не требуется ли обновление видеодрайверов.
Уважаемый(ая) Tiberius, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Зараза поселилась...основательно
Будем выкорчевывать!!!
Сообщение от Tiberius
