Как выявить зловредные программки и файлы?

[nitouche 0]

здравствуйте!

свою проблему я описала здесь http://forum.kasperskyclub.ru/index.php?sh...mp;#entry380277

выполнила то, что порекомендовал Welder1987

вот:

http://www.getsysteminfo.com/read.php?file...9c42e27785792cb

прикрепила зиповский файл

что делать дальше?

GetSystemInfo_USER_ПК_user_2011_03_04_21_32_04.zip

[SLASH_id 989]

Прочтите и выполните: http://forum.kasperskyclub.ru/index.php?showtopic=1698

[nitouche 0]

вроде выполнила..

 

 

у меня вопрос: я систему восстановления Windows то отключила. Теперь её надо включить?

virusinfo_syscheck.zip

hijackthis.log

virusinfo_syscure.zip

Изменено 4 марта, 2011 пользователем nitouche

[Xenon 920]

у меня вопрос: я систему восстановления Windows то отключила. Теперь её надо включить?

Как хотите. Вряд ли когда-либо пользовались им. Кто советует включить, но многие специально отключают чтобы экономить место на ЖД например.

Изменено 4 марта, 2011 пользователем Xenon

[Roman_Five 598]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Windows\Temp\TS_6A8D.tmp','');
QuarantineFile('C:\Users\user\AppData\Local\Temp\Temp1_djvureader.zip\djvureader\DjVuReader.exe','');
DeleteFile('C:\Windows\Temp\TS_6A8D.tmp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

R3 - URLSearchHook: (no name) -  - (no file)
R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll
O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

- Ask Toolbar.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - Sp2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - Sp1x86, Windows 7 x64 - SP1x64

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

- обновить КАВ/KIS до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Обновите базы AVZ!

Сделайте новые логи по правилам.

Изменено 5 марта, 2011 пользователем Roman_Five

[nitouche 0]

Спасибо,Roman_Five!

всё сделаю.

хочу спросить: а для чего делают выполнение скрипта в AVZ? он чистит сомнительные файлы?

и вот Вы мне советуете обновить некоторые программы, но у меня из перечисленных вроде бы только Adobe.....насколько я знаю...

 

да, я базы AVZ перед первым сканированием забыла обновить, но перед вторым сделала это. Поэтому, видимо, так долго шло сканирование.

 

А логи сделать заново и снова загрузить сюда?

Изменено 5 марта, 2011 пользователем nitouche

[Roman_Five 598]

но у меня из перечисленных вроде бы только Adobe.....насколько я знаю...

нет. у вас точно Adobe Reader, Adobe Player и КАВ

предложен минимальный "джентльменский" набор.

 

нет новых логов.

 

А логи сделать заново и снова загрузить сюда?

да.

 

а для чего делают выполнение скрипта в AVZ? он чистит сомнительные файлы?

карантинит сомнительные и вредоносные и удаляет вредоносные

Изменено 5 марта, 2011 пользователем Roman_Five

[nitouche 0]

у меня еще вопрос:

я вот делаю запрос в вирусную лабораторию (в процессе).

мне непонятно, где взять пароль на архив virus.

и мне рекомендовано :Перед прикреплением вредоносного объекта добавьте его в архив с паролем virus.

Как это сделать?

[Roman_Five 598]

мне непонятно, где взять пароль на архив virus.

и мне рекомендовано :Перед прикреплением вредоносного объекта добавьте его в архив с паролем virus.

Как это сделать?

всё это уже сделано, если вы выполнили 2-й скрипт AVZ

 

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

 

------------------------------------------

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

смените пароли на WebMoney

[nitouche 0]

я скрипты выполнила - несложно. отправила в лабораторию запрос. Пока пришел такой ответ:

bcqr00003.dat,

bcqr00004.dat

 

Вредоносный код в файлах не обнаружен.

 

TS_6A8D.tmp

 

Файл в процессе обработки.

 

С уважением, Лаборатория Касперского

вот.

после всех ссканирований увидела, что мой комп доступен анонимному пользователю! к тому же обнаружила, что был отключен брандмауэр виндоуз. включила. отыскала удаленного помощника отключила эту функцию (снятия флажка достаточно?). Еще увидела две учетные записи... одна юзер, другая администратор. Попыталась изменить, но ничего не вышло - заблокировано! что делать?

про пароли: у меня стояла шпионская программа, которая считывала пароли?я уже на сайтах меняла, еще надо? этой программы уже нет? можно уже успокоиться?

кстати, спасибо также Xenonу и Slash id за помощь ( только увидела, что советы от разных людей)

просканировала Malwarebytes' Anti-Malware.

вот все логи:

mbam_log_2011_03_07__18_57_44_.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

hijackthis.log

Изменено 7 марта, 2011 пользователем nitouche

[Roman_Five 598]

отключите антивирус.

выполните скрипт:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
DelCLSID('{E6FB5E20-DE35-11CF-9C87-00AA005127ED}');
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

компьютер перезагрузится.

 

деинсталлируйте MBAM.

 

Вы постоянно используете VKSaver?

Если нет, деинсталлируйте.

 

сделайте новые логи AVZ

[nitouche 0]

скрипт выполнила.

MBAM деинсталлировала. А вот на VKSaver рука не поднялась.

у меня вот еще какая проблема:

сестра зашла с моего компа в одноклассники и не могла зайти в темы "сообщения","оповещения". остальные функционировали. это блокировка?если да, то что делать?

как мне разблокировать администратора? некоторые службы недоступны для изменения, такие как schedule.

и еще вопрос: мне стоит отключать SSDP?

hijackthis.log

virusinfo_syscheck.zip

virusinfo_syscure.zip

Изменено 8 марта, 2011 пользователем nitouche

[Roman_Five 598]

Еще увидела две учетные записи... одна юзер, другая администратор. Попыталась изменить, но ничего не вышло - заблокировано! что делать?

как мне разблокировать администратора?

что изменить? как именно разблокироватьт? подробнее, пожалуйста.

 

не могла зайти в темы "сообщения","оповещения". остальные функционировали. это блокировка?

нет. возможно, блокирует антибаннер антивируса.

 

некоторые службы недоступны для изменения, такие как schedule.

как Вы это определили? в службах?

 

мне стоит отключать SSDP?

а Вы знаете ,что это и зачем? если Ваш компьютер в локальной сети - то не стоит. Если нет - то можно.

 

Вы не воспользовались данными рекомендациями.

После проведённого лечения рекомендуется установить следующие обновления:

- установить текущий пакет обновлений (SP) для Windows (может потребоваться активация Windows)

* выберите SP для своей версии Windows: Windows XP - SP3, Windows Vista x86 - Sp2x86, Windows Vista x64 - SP2x64, Windows 7 x86 - Sp1x86, Windows 7 x64 - SP1x64

- все обновления на Windows (может потребоваться активация Windows)

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

- обновить Adobe Shockwave Player до актуальной версии

- обновить Adobe Flash Player до актуальной версии

- обновить QuickTime Player до актуальной версии

- обновить КАВ/KIS до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

по логам -всё чисто.

[nitouche 0]

что изменить? как именно разблокироватьт? подробнее, пожалуйста.

панель управления - учетные записи пользователей и семейная безопасность- учетные записи пользователей-изменение типа учетной записи- выбор нового типа учетной записи. Флажок стоит на администраторе. поменять на обычный доступ не могу. флажок не переставляется. А ниже написано, что рекомендуется как раз обычный доступ. Надо что-то менять? дело в том, что я не знаю, как было ДО того, как к компу имели прямой доступ наладчики из интернет-компании.

 

антибаннер антивируса

что это?и что делать в таких случаях?

(я Вас, наверно, уже достала своими вопросами..

 

как Вы это определили? в службах?

да, там. лазила,лазила и набрела. даже уже не помню как...там было окошко: такая-то программа - работает (или пусто)- автоматическое (или вручную)...

и целый столбик программ,служб....

 

Вы не воспользовались данными рекомендациями

один из adobe я обновила. остальные сегодня. Java - мы не играем в игры, она вообще нужна?

про ScanVuln.txt - забыла...сделаю.

Изменено 9 марта, 2011 пользователем nitouche

[Roman_Five 598]

Надо что-то менять?

работая под админом нельзя его понизить до обычного пользователя

создайте нового пользователя, понизьте его права и работайте под ним.

и целый столбик программ,служб....

Sheduller (планировщик) нельзя отключить?