Пью Опубликовано 9 августа, 2009 Опубликовано 9 августа, 2009 Вопрос собственно в том, что при установленном KIS 8 оба вируса (Win32.Kolabc.ezg и Win32.Sdbot.aad) не удавалось найти средствами KIS - признаки заражения есть, а антивирус ничего не видит при максимально жестких настройках. Причем длилось это не одну неделю. Мои проблемы детектировалась и удаляласть при помощи проги, заточенной под поиск шпионов. Поиском вируса онлайн не пользовался, ибо у меня скорее всего не хватит скорости у подключения, чтобы процедура продолжалась сколь-либо приемлемое время (256 Мб/с). Впрочем, главное соображение - при неподавленной угрозе выход в сеть вообще вреден. Какие будут рекомендации при подозрительном поведения компа в дальнейшем?
thyrex Опубликовано 9 августа, 2009 Опубликовано 9 августа, 2009 Ни один разработчик антивирусных решений не дает 100% гарантии защиты Можно прямо сейчас, если желаете, сделать профилактический осмотр, выполнив эти правила
Пью Опубликовано 10 августа, 2009 Автор Опубликовано 10 августа, 2009 Вот логи, если все правильно сделал. (Жаль что не сделал их до лечения.) Правда, сейчас там уязвимостей поубавилось, лишние службы поотключал. И проблема возникла после излечения – DSL модем перестал держать линию, обрывал связь каждые 5-10 минут, что требует перезапуска модема. Драйвера переставил – не помогает. Вот сейчас новое соединение состряпал, жду чего вышло. 2009_08_10.zip
Falcon Опубликовано 10 августа, 2009 Опубликовано 10 августа, 2009 Пофиксите: O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file) Логи AVZ не те - нужны архивы.
Пью Опубликовано 11 августа, 2009 Автор Опубликовано 11 августа, 2009 Пофиксите: Хм, один раз попробовал, но результат мне остался непонятен, а попробовать второй раз – искомой строчки почему-то не появляется. Все есть, кроме этой с указанным скриптом (O3). Да, в папке где у меня лежат avz.exe и HijackThis.exe, появилась (возможно, после попытки пофиксить) еще одна папка backups с файлом без расширения, backup-20090810-210001-570 – это то что нужно как результат фиксанья? Логи от AVZ – немного не понял, это значит каждый отчет должен быть ZIP-архивом, а так все то? Если да, то переделаю. И еще – я вот не знал про AVZ, а судя по настройкам, вещь могучая. Получается, что если есть сомнения в чистоте компа, этот инструмент практически на 100% обнаруживает нежелательных элементов?
Falcon Опубликовано 11 августа, 2009 Опубликовано 11 августа, 2009 Логи от AVZ – немного не понял, это значит каждый отчет должен быть ZIP-архивом, а так все то? Если да, то переделаю. 8. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт лечения/карантина и сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое сканирование, лечение и исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscure.zip. 10. Запустите AVZ. Выберите из меню "Файл"=>"Стандартные скрипты" и поставьте галку напротив "Скрипт сбора информации для раздела "Помогите!" virusinfo.info". Нажмите "Выполнить отмеченные скрипты". Будет выполнено автоматическое исследование системы, полученный лог avz_sysinfo.htm будет сохранен в директории AVZ в папке "LOG" в архиве virusinfo_syscheck.zip.
Пью Опубликовано 12 августа, 2009 Автор Опубликовано 12 августа, 2009 Вот новые. virusinfo_syscheck.zip virusinfo_syscure.zip
SergeyUser Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 Когда возникают серьезные опасения, что что-то не так, или паранойя не отпускает, я запускаю тестирование с загрузочного диска (диска аварийного восстановления, который можно создать из интерфейса KIS) с последними версиями баз. Это самый надежный из известных мне способов детектирования известных угроз (которые уже попадали в антивирусные компании).
thyrex Опубликовано 12 августа, 2009 Опубликовано 12 августа, 2009 В логах не наблюдается ничего подозрительного
Пью Опубликовано 14 августа, 2009 Автор Опубликовано 14 августа, 2009 Паранойя не отпускает. Ибо разница с «чистой» виндой таки ощущается. Сетевое подключение держится весьма скверно, что косвенный признак заражения. Вот сейчас опять прогнал на всякий случай Спайбутом (SpyBotSD), опять обнаружил вирусятину. Все тот же Win32.Sdbot.aad, ну и за компанию там еще одна хрень новая появилась, Hupigon13. Вот кусок отчета спайбута где самое интересное. Специально пока ничего не удаляю, чтобы разобраться с ним по-правильному. -- Search result list --- Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=W=0 Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=W=0 Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=W=0 Microsoft.WindowsSecurityCenter_disabled: Настройки (Изменение реестра, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2 Hupigon13: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sr\ImagePath=...\SystemRoot\... Hupigon13: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\ImagePath=...\SystemRoot\... В KIS ничего подозрительного. Сканирования портов за эти дни – были конечно. Вот логи AVZ virusinfo_syscheck.zip virusinfo_syscure.zip
thyrex Опубликовано 14 августа, 2009 Опубликовано 14 августа, 2009 Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done)HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify!=W=0 Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify!=W=0 Win32.Sdbot.aad: Настройки (Изменение реестра, nothing done) HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify!=W=0 Microsoft.WindowsSecurityCenter_disabled: Настройки (Изменение реестра, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\wscsvc\Start!=W=2 Все это относится к Центру обеспечения безопасности. Вы отключали его уведомления? Если да, тогда чего волнуетесь Hupigon13: Настройки (Значение реестра, nothing done)HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sr\ImagePath=...\SystemRoot\... Hupigon13: Настройки (Значение реестра, nothing done) HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sr\ImagePath=...\SystemRoot\... Относится к Восстановлению системы. Причем это что-то из старых настроек Ваши логи чистые
Пью Опубликовано 14 августа, 2009 Автор Опубликовано 14 августа, 2009 Да, центр обеспечения безопасности я после заражения отключил (в числе множества других служб). И это дало выброс старых записей? Хм, как-то не подумал. Спасибо. Я не настолько специалист. чтобы определить причину появления этих вещей в отчете, и если после уничтожения, в отчете (вторично) появляется упоминание про вирус и рекомендация залечить эту проблему, то паника естественна
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти