Удаление вирусов KIS 2009

[Tatyana]

У меня такой вопрос: насколько безопасно удалять вирусы (если их нельзя вылечить) программой KIS 2009? Я как-то удалила с помощью KAV, так он мне полсистемы снес вместе с вирусами. Мне только что переустановили систему. До этого в ней был вирус. Перед самой переустановкой системы я почистила комп антивируской утилитой Malware чего-то там, и комп перестал видеть жесткие диски. Я включала комп, а он мне писал "Перезагрузите и выбирите загрузочный диск". Мои попытки выбрать этот диск в биосе ни к чему не приводили. Переустановили систему. Сейчас вот KIS нашел у меня какой-то Trojan.Win32.Genome.pzn в System Volume Information и в Documents and Setings. Лечить невозможно. Предлагает его удалить. Можно ли безопасно удалять вирусы антивирусной программой или лучше с помощью скриптов AVZ (с ними у меня еще не было проблем)? И еще: что такое уезвимость? У меня их найдено великое множество.

Изменено 30 июня, 2009 пользователем Tatyana

[thyrex]

Выполните, пожалуйста, правила http://forum.kasperskyclub.ru/index.php?showtopic=1698

Посмотрим, что у Вас там

 

Что такое уязвимость

Если в отчетах антивируса щелкнуть по ссылке, указывающей на уязвимость, Вы перейдете на страницу с ее описанием и способом исправления

[komar0ff]

есть такие нехорошие вирусы, которые внедряются в системные файлы. если антивирус их не может вылечить, то естественно он предложит их удалить: от этого страдает сама ситема. что и произошло у Вас в описанном случае. поэтому антивирус я ставлю ВТОРЫМ после установки системы.

если вирусы не удалять - они размножаются (и не только вирусы, а и тараканы, мыши и т.д. ), по этому их НАДО удалять. а чем удалять: сами выбирайте. AVZ я пользую только на незнакомых компах, когда необходимо глубокое лечение. если справляется KIS - считаю что ему можно доверять.

[ТроПа]

komar0ff что это за вирусы которые внедряются в системные файлы? Если вы о классическом файловом вирусе, то он легко лечится КИС или КАВ, если же об методе маскировке вирусописателей своих творений, которые используют или похожие на системные имена файлов, или файлы с системными именами, но расположенные в других папках - то это другое дело и их стоит удалять.

AVZ я пользую только на незнакомых компах, когда необходимо глубокое лечение. если справляется KIS - считаю что ему можно доверять.

Разницы на знакомом или нет ПК использовать АВЗ и иже с ним утилиты нет. Раз уж произошло заражение, то стоит проверить и утилитами и антивирусом.

[Tatyana]

Логи:

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.zip

[миднайт]

Заражения не видно. Есть ли какие то проблемы с машиной?

В AVZ выполните скрипт:

 

begin
SetAVZPMStatus(true);
RebootWindows(true);
end.

 

Удалите бунжур.

скачайте утилиту http://cexx.org/lspfix.htm перед удалением бунжур. инстуркция по применению утилиты http://www.bleepingcomputer.com/tutorials/tutorial59.html

Как удалить бунжур - Bonjour:

Пуск – Выполнить – cmd

sc stop "Bonjour Service" ВВОД

sc delete "Bonjour Service" ВВОД

Затем запускаем lspfix - «I know what i`m doing…». - Выделяем mdnsnsp.dll и перемещаем его в правую сторону стрелочками

-Finish. Перегружаемся.

 

Повторите логи.

[akoK]

AVZ быстрее

 

и

 

Служба Bonjour Service используется в некоторых IP-телефонах (например, Gizmo) именно для поиска абонентов в неконфигурируемой сети. Если есть такие удалять не рекомендуется.

[ROME'D'ROS]

поэтому антивирус я ставлю ВТОРЫМ после установки системы.

А можно спросить,это как вообще? O_0

Или вы имеете в виду,не ставля других программ,сразу же ставите КИС. Просто не очень понятно))

 

Tatyana,не нравится мне файл: C:\WINDOWS.0\system32\cpwmon2k.dll,проверьте его на вирустотале,полученные сведения выложите сюда.

[Tatyana]

Заражения не видно. Есть ли какие то проблемы с машиной?

Пока ничего не замечала, кроме того, что система долго загружается при том, что программ сейчас на компе не много. Но KIS меня замучал своими уведомлениями. Я присоединила скрины.

 

Tatyana,не нравится мне файл: C:\WINDOWS.0\system32\cpwmon2k.dll,проверьте его на вирустотале,полученные сведения выложите сюда.

Файл cpwmon2k.dll получен 2009.06.30 14:47:49 (UTC)
Текущий статус: Загрузка ... в очереди ожидание проверка закончено НЕ НАЙДЕНО ОСТАНОВЛЕНО 


Результат: 0/40 (0%)
Загрузка информации... 
Ваш файл в очереди на позиции: 3.
Ожидаемое время старта между 61 и 87 секунд.
Не закрывайте окно до окончания проверки. 
Сканер, который обрабатывает Ваш файл, остановлен в данный момент. Производится попытка восстановить Ваши результаты, подождите несколько секунд.
Если вы ждете более пяти минут, попробуйте прислать файл еще раз. 
Ваш файл проверяется VirusTotal в данный момент,
результаты отображаются по мере генерации. 
Форматированные Печать результатов  Ваш файл просрочен или не существует. 
ервис остановлен в данный момент, Ваш файл ожидает проверки (позиция: ) через неопределенное время.
Вы можете подождать ответа (страница автоматически перезагрузится) или написать ваш e-mail адрес ниже и нажать "запросить" для получения оповещения об окончании проверки.  Email адрес:  
 

Антивирус Версия Обновление Результат 
a-squared 4.5.0.18 2009.06.30 - 
AhnLab-V3 5.0.0.2 2009.06.30 - 
AntiVir 7.9.0.199 2009.06.30 - 
Antiy-AVL 2.0.3.1 2009.06.30 - 
Authentium 5.1.2.4 2009.06.29 - 
Avast 4.8.1335.0 2009.06.29 - 
AVG 8.5.0.339 2009.06.30 - 
BitDefender 7.2 2009.06.30 - 
CAT-QuickHeal 10.00 2009.06.29 - 
ClamAV 0.94.1 2009.06.30 - 
Comodo 1509 2009.06.30 - 
DrWeb 5.0.0.12182 2009.06.30 - 
eSafe 7.0.17.0 2009.06.29 - 
eTrust-Vet 31.6.6590 2009.06.30 - 
F-Prot 4.4.4.56 2009.06.29 - 
F-Secure 8.0.14470.0 2009.06.30 - 
Fortinet 3.117.0.0 2009.06.30 - 
GData 19 2009.06.30 - 
Ikarus T3.1.1.64.0 2009.06.30 - 
Jiangmin 11.0.706 2009.06.30 - 
K7AntiVirus 7.10.768 2009.06.19 - 
Kaspersky 7.0.0.125 2009.06.30 - 
McAfee 5661 2009.06.29 - 
McAfee+Artemis 5661 2009.06.29 - 
McAfee-GW-Edition 6.7.6 2009.06.30 - 
Microsoft 1.4803 2009.06.30 - 
NOD32 4200 2009.06.30 - 
Norman 6.01.09 2009.06.30 - 
nProtect 2009.1.8.0 2009.06.30 - 
Panda 10.0.0.14 2009.06.29 - 
PCTools 4.4.2.0 2009.06.30 - 
Rising 21.36.14.00 2009.06.30 - 
Sophos 4.43.0 2009.06.30 - 
Sunbelt 3.2.1858.2 2009.06.29 - 
Symantec 1.4.4.12 2009.06.30 - 
TheHacker 6.3.4.3.358 2009.06.30 - 
TrendMicro 8.950.0.1094 2009.06.30 - 
VBA32 3.12.10.7 2009.06.30 - 
ViRobot 2009.6.30.1812 2009.06.30 - 
VirusBuster 4.6.5.0 2009.06.29 - 
Дополнительная информация 
File size: 87552 bytes 
MD5...: b373075cc1c45c1a8f3147088e85bb15 
SHA1..: 46a32cd61c8ab77a0f1ad54436fe1dffd71916d4 
SHA256: 94a1ed16c4257a26cdb572e1116bf5fdee91ffb9cf338567b97555c6ee1bf0e5 
ssdeep: 1536:uFFdUcbp3nGCzi0Oz/SkTD46ZC++i6NtYMelMhlE02Yn4SE:4dUccCzi0Oz
aJ+mNtYMelMhlOYns

PEiD..: Armadillo v1.xx - v2.xx 
TrID..: File type identification
- 
PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x6e2e
timedatestamp.....: 0x4696de13 (Fri Jul 13 02:06:11 2007)
machinetype.......: 0x14c (I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x9936 0xa000 6.27 e73f61cd811149b0c1b31e805ff6dfa0
.rdata 0xb000 0x1445 0x2000 3.92 d3db4a6e8c0765b9c377df59735b71cb
.data 0xd000 0x5f00 0x5000 2.01 37d02866e664ac61ccff9db91556298c
.reloc 0x13000 0x13cc 0x2000 3.24 66f8b75aa2ac675905c3acc43b30ac1e

( 5 imports ) 
> KERNEL32.dll: GlobalAlloc, GetLastError, GetCurrentThread, ExpandEnvironmentStringsW, lstrcmpW, SetEnvironmentVariableW, CreateThread, CreateEventW, CreateMutexW, GetTempFileNameW, GetTempPathW, TerminateProcess, GetEnvironmentVariableW, lstrcmpiW, GetComputerNameW, Sleep, SetEvent, DeleteFileW, GetExitCodeThread, GetWindowsDirectoryW, CreateFileW, FreeEnvironmentStringsW, GetEnvironmentStringsW, CreateProcessW, DuplicateHandle, GetCurrentProcess, CreatePipe, GetShortPathNameW, GetVersionExW, GetPrivateProfileStringW, GetFileAttributesW, SearchPathW, GetCurrentDirectoryW, GlobalFree, GlobalHandle, FreeLibrary, GetProcAddress, LoadLibraryW, CopyFileW, DisableThreadLibraryCalls, InterlockedIncrement, InterlockedDecrement, LCMapStringW, LCMapStringA, RtlUnwind, LoadLibraryA, HeapReAlloc, VirtualAlloc, GetOEMCP, GetACP, GetCPInfo, HeapAlloc, LeaveCriticalSection, EnterCriticalSection, SetLastError, lstrlenW, GlobalLock, ResetEvent, CloseHandle, GlobalUnlock, GetExitCodeProcess, PeekNamedPipe, WriteFile, FlushFileBuffers, ReadFile, lstrcpynW, lstrcpyW, lstrcatW, ReleaseMutex, GetModuleFileNameW, WaitForSingleObject, InitializeCriticalSection, GetStringTypeW, GetCommandLineA, GetVersion, ExitProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, TlsFree, TlsGetValue, SetHandleCount, GetStdHandle, GetFileType, GetStartupInfoA, DeleteCriticalSection, GetModuleFileNameA, FreeEnvironmentStringsA, WideCharToMultiByte, GetEnvironmentStrings, GetModuleHandleA, GetEnvironmentVariableA, GetVersionExA, HeapDestroy, HeapCreate, VirtualFree, HeapFree, MultiByteToWideChar, GetStringTypeA
> USER32.dll: wsprintfW, WaitForInputIdle, GetDesktopWindow
> WINSPOOL.DRV: ClosePrinter, SetJobW, OpenPrinterW, StartDocPrinterW, GetPrinterW, AbortPrinter, EndDocPrinter, EnumPortsW, GetJobW, WritePrinter
> ADVAPI32.dll: RegEnumKeyW, CreateProcessAsUserW, RegCreateKeyExW, RegSetValueExW, RegOpenKeyExW, RegQueryValueExW, RegCloseKey, OpenThreadToken, DuplicateTokenEx, GetTokenInformation, IsValidSid, GetSidIdentifierAuthority, GetSidSubAuthorityCount, GetSidSubAuthority, RegDeleteValueW
> SHLWAPI.dll: PathFileExistsW

( 5 exports ) 
DllEntryPoint, DllMain, InitializePrintMonitor, InitializePrintMonitor2, InitializePrintMonitorUI

PDFiD.: - 
RDS...: NSRL Reference Data Set
-

 

Удалите бунжур.

А что он плохого делает?

Изменено 30 июня, 2009 пользователем Tatyana

[thyrex]

Так как у Вас восстановление системы отключено, папку C:\System Volume Information можете безболезненно удалить.

 

Файлы, на который ругается антивирус, Вы получили через ICQ. Отправитель Вам, надеюсь, известен. Проверьте полученные файлы на virustotal Ссылки на результат проверки сообщите

[Tatyana]

Файлы, на который ругается антивирус, Вы получили через ICQ. Отправитель Вам, надеюсь, известен. Проверьте полученные файлы на virustotal Ссылки на результат проверки сообщите

В папке ICQ KIS ругается на пиратские ключи для KAV. Меня это уже не пугает. Я разобралась, а вот файл в System Volume Information меня напрягает. Это не может быть пиратский ключ от самой системы?

[thyrex]

Нет. Это резервная копия одного из файлов с пиратскими ключами

[Tatyana]

Т.е. ни один из этих файлов не является вирусом? А как сделать, чтобы KIS их игнорировал?

Изменено 30 июня, 2009 пользователем Tatyana

[komar0ff]

Или вы имеете в виду,не ставля других программ,сразу же ставите КИС. Просто не очень понятно))

 

именно это я и имел ввиду. при установке других программ некоторые ломятся в интернет, вот я и перестраховываюсь- устанавливаю Касперского. пусть сразу отслеживает все движняки на компе.

PS я конечно не великий специалист по вирусам и может чего недопонимаю в компьютерах, но пока у меня и у моих друзей с вирусами проблем нет (спасибо Касперскому)

[ROME'D'ROS]

именно это я и имел ввиду. при установке других программ некоторые ломятся в интернет, вот я и перестраховываюсь- устанавливаю Касперского. пусть сразу отслеживает все движняки на компе.

Я тоже так делаю)

PS я конечно не великий специалист по вирусам и может чего недопонимаю в компьютерах, но пока у меня и у моих друзей с вирусами проблем нет (спасибо Касперскому)

Абсолютно согласен,касперский рулит.

Т.е. ни один из этих файлов не является вирусом? А как сделать, чтобы KIS их игнорировал?

Я бы не советовал это делать,он находит вирусы,а если он их будет игнорировать,это будет плохо...