Удаление шпионской программы

[bolek]

Точнее, это КАВ её так класифицирует. Но суть не в этом.

 

Пробовал качнуть один архив, тут же вылезло сообщение от Веб-антивируса, что это: not-a-virus:PSWTool.Win32.PWDump.2. Было предложено блокировать и удалить. В таких случаях меня дважды просить не надо. ))

 

Это было вчера.

Сегодня открыл диск Е и почти сразу вылезло предупреждение уже от Файлового антивируса о том же самом архиве. Смотрю, а он тут и лежит. Мне было предложено удалить его содержимое. Я опять это сделал, но аналогичные предложения повторились ещё несколько раз и каждый раз я соглашался с предложением удалить. Потом удалил и сам этот архив, заодно удалил его и из корзины тоже. Архив незапароленный.

 

Ещё заглянул в резервное хранилище и удалил там две записи об этом файле.

 

Вопрос в следующем: это так должно быть, что Веб-антивирус не препятствует тому, чтобы архив дошёл туда, куда в самом начале я указал ему загрузиться?

[bolek]

qwe321

 

Архив незапароленный, ничто не мешало удалить его или его содержимое.

Я в инете поискал инфу насчёт той эксешки, там и правда разное пишут. Одни говорят, что безобидный файл, а мол некоторые антивирусы на воду дуют.

Но дело сейчас не в этом, а в том, что я написал в первом посте. Непонятно, почему и как он всё-таки попал на ко мне на комп и почему несколько раз предлагал удалить содержимое, удалял, не писал, что не может этого сделать, но потом снова предлагал удалить.

 

Я не так часто сталкиваюсь с подобными файлами, на которые реагирует антивирь; прежде, чем качнуть, обдумываю где и что качать. С этим файлом вышел испорченный телефон, я подумал, что это программка, которая помогает увидеть пароль, спрятанный за звёздочками, типа, если забыл его. Но там всё гораздо сложнее, хотя я и сейчас не уверен, шпион ли это.

 

По-любому, хорошо, что Касперыч его распознал. Вот только как бы разобраться в его действиях, на будущее, так сказать.

[sereja6]

Выключите востановление системы и попробуйте в безопасном режиме просканировать комп.

Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим) http://support.kaspersky.ru/kis6mp1/tech?p...p;qid=180593101

Как выключить востановлеие системы http://support.kaspersky.ru/viruses/computers?qid=208635440

[bolek]

Выключите востановление системы и попробуйте в безопасном режиме просканировать комп.

Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим) http://support.kaspersky.ru/kis6mp1/tech?p...p;qid=180593101

Как выключить востановлеие системы http://support.kaspersky.ru/viruses/computers?qid=208635440

 

 

Понимаете, того архива уже нет, я после этого прогнал Касперычем весь комп, все диски. Всё чисто (трижды сплюнул). Собственно, та фигнюшка и не могла вылезти из архива, я архивы, а тем более из неизвестных источников, распаковываю только после их сканирования антивирусом.

 

Удивило, что архив прошёл при загрузке, хотя по идее должен был быть срезан после того, как я выбрал Удалить и Запретить в запросах Каспера.

 

Сейчас зашёл в журнал Защиты. Так и есть, там какие-то три штучки, и их же Касперыч выловил в восстановлении системы. То есть, тот архив вместе с его содержимым.

Первая строка там помечена жёлтым кружком с восклицательным знаком, очевидно, это Веб-антивирус, а остальные записи, как я понял, от Файлового антивируса:

 

обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл: E:\rockXP4.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\pwdump2.exe//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл: E:\rockXP4.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\samdump.dll//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.RAS.a

 

Файл: E:\rockXP4.rar/rockXP4\RockXP4.exe//data.rar/RockXP4_.exe//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл:E:\RECYCLER\S-1-5-21-484763869-1532298954-1801674531-1003\De1.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\pwdump2.exe//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл:E:\RECYCLER\S-1-5-21-484763869-1532298954-1801674531-1003\De1.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\samdump.dll//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.RAS.a

 

Файл:E:\RECYCLER\S-1-5-21-484763869-1532298954-1801674531-1003\De1.rar/rockXP4\RockXP4.exe//data.rar/RockXP4_.exe//UPX

 

Чёрт меня дёрнул качать эту муть, она может и безобидная, но бережённого... С Касперычем рассалбуха приходит, когда видишь его значок в трее, а совсем расслабляться нельзя, программа программой, но и самому дремать не надо. ))

 

qwe321

 

В настройках я как раз добавил, чтобы и запароленные архивы проверялись. Но этот архив шёл незапароленным.

[sereja6]

Выключите востановление системы и попробуйте в безопасном режиме просканировать комп.

Как перезагрузить компьютер в Режиме Защиты от Сбоев (Безопасный режим) http://support.kaspersky.ru/kis6mp1/tech?p...p;qid=180593101

Как выключить востановлеие системы http://support.kaspersky.ru/viruses/computers?qid=208635440

 

 

Понимаете, того архива уже нет, я после этого прогнал Касперычем весь комп, все диски. Всё чисто (трижды сплюнул). Собственно, та фигнюшка и не могла вылезти из архива, я архивы, а тем более из неизвестных источников, распаковываю только после их сканирования антивирусом.

 

Удивило, что архив прошёл при загрузке, хотя по идее должен был быть срезан после того, как я выбрал Удалить и Запретить в запросах Каспера.

 

Сейчас зашёл в журнал Защиты. Так и есть, там какие-то три штучки, и их же Касперыч выловил в восстановлении системы. То есть, тот архив вместе с его содержимым.

Первая строка там помечена жёлтым кружком с восклицательным знаком, очевидно, это Веб-антивирус, а остальные записи, как я понял, от Файлового антивируса:

 

обнаружено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл: E:\rockXP4.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\pwdump2.exe//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл: E:\rockXP4.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\samdump.dll//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.RAS.a

 

Файл: E:\rockXP4.rar/rockXP4\RockXP4.exe//data.rar/RockXP4_.exe//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл:E:\RECYCLER\S-1-5-21-484763869-1532298954-1801674531-1003\De1.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\pwdump2.exe//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.PWDump.2

 

Файл:E:\RECYCLER\S-1-5-21-484763869-1532298954-1801674531-1003\De1.rar/rockXP4\RockXP4.exe//data.rar/pwdump2\samdump.dll//UPX

удалено: потенциально опасное ПО not-a-virus:PSWTool.Win32.RAS.a

 

Файл:E:\RECYCLER\S-1-5-21-484763869-1532298954-1801674531-1003\De1.rar/rockXP4\RockXP4.exe//data.rar/RockXP4_.exe//UPX

 

Чёрт меня дёрнул качать эту муть, она может и безобидная, но бережённого... С Касперычем рассалбуха приходит, когда видишь его значок в трее, а совсем расслабляться нельзя, программа программой, но и самому дремать не надо. ))

 

qwe321

 

В настройках я как раз добавил, чтобы и запароленные архивы проверялись. Но этот архив шёл незапароленным.

Он мог пройти, а темболее если у вас открыты почти все порты , не спрашивайте откуда я знаю - просто знаю.Если хотите могу помочь закрыть все ненужные порты

[bolek]

sereja6

 

Порты у меня может и открыты, я решил отказаться от услуг программного файервола, ограничившись рутером, в котором он тоже присутствует, правда, диалога с пользователем тот файервол не ведёт.

 

Ну и КАВ так же способен отражать атаки, хотя, с рутером я за два с лишним года таковых не припоминаю.

 

Насчёт проверки наличия мелких стукачей в системе есть ещё HijackThis, которым я тоже время от времени проверяюсь.

 

В остальном же исхожу из того, что того, чего не вижу и что себя никак не проявляет, того нет.

 

Спасибо за предложение помощи, но я как вспомню возню с портами в аутпосте, то повторять мне этого не хочется. )

 

Обратил внимание, что 6-й КАВ не визжит, как 5-й. Вылезает сообщение об опасности, сопровождаемое тихим звуком, и всё.

Звук я не отключал, даже не помню, где это в настройках. Это так и задумано теперь, работать тихо?

 

P.S. А как он мог пройти, если архив не распаковывался? Не говоря уже про запуск эксешек.

Изменено 22 января, 2007 пользователем bolek

[sereja6]

Читайте http://forum.kasperskyclub.com/blog/sereja6/index.php?cat=21

[bolek]

Спасибо за ссылку. Частично я делаю то, что там написано, правда, в меньшей степени.

Автообновления у меня отключены, кукисы по умолчанию запрещены, разрешаю их только для каждого сайта в отдельности. Автостарт контролирую сам.

 

Что касается свойств подключения инета и служб, то туда я предпочитаю не лезть. Как раз из-за страха и нелюбви к риску, о которых Вы упомянули в той ссылке в самом конце. ))

 

В остальном же я за почти три года пользования компом хоть и не стал большим спецом во всех этих вопросах, но путь от мерещащихся на каждом шагу вирусов и троянов, что присуще большинству новичков, и до спокойного юзанья, так сказать, с холодным разумом, я успел пройти.