Вообщем выкладываю логи на растерзание так сказать. Т.к есть некоторые подозрения и жду комментариев.

12341234, Желательно также сделать дополнительные логи с помощью утилиты Deckard's System Scanner. Закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, сохраните их и заархивируйте, и стоило проверять 4.30 с последними базами ...вы проверили систему CureIt или же Kaspersky Virus Removal Tool ?

Рекомендую отключить лишнее, то что из этого не нужно...

>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

подозрительные файлы можно проверить тут (http://www.virustotal.com/ru/)

zeroua,
Более всего есть подозрения на шпионов и троянов.

Попутно вопрос - служба SSPD - за что отвечает ?
Планировщик нужен - пробуждет ПК по расписанию.
Диспетчер отключу.
Попутно - автозапуск у меня отклченн через TweakUI со всех дисков кроме C.
Если я через реестр отменю общие административные ресурсы C,D.... Это на чем может отразиться ?

И - как грамотно запретить досткуп анонимного пользователя(при этом чтобы не мешало работе с torrent-трекерами) ?

У меня стоит KIS 6 , обновляемый каждый день.

Проверить подозрительные - вы можете указать на какието у меня или это если у меня будет подозрения ?


Deckard's System Scanner что конкретно ищет ?
Если я все это проверю то могу быть уверенным что в системе нет шпионов и троянов ?

Рекомендую деинсталлировать FlashGet и Registry Defragmentation
ARTICONS.job сами в планировщик ставили? Если нет - удалите задание.
Какие проблемы наблюдаются и почему есть подозрение?
В меню AVZ (http://z-oleg.com/avz4.zip) - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\Registry Defragmentation\RegManServ.exe','');
QuarantineFile('C:\WINDOWS\system32\CurrentLogoUI.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\gggen.sys','');
QuarantineFile('C:\WINDOWS\System32\Drivers\dtscsi.sys','');
BC_ImportALL;
BC_QrSvc('OMSCAN');
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".\
O4 - HKLM\..\Run: [ScanRegistry] C:\W
База поcледний раз обновлялась 30.03.2008
AVZ версии 4.29
Скачайте снова AVZ и обновите базы.
HijackThis v2.0.0 (BETA)
Скачайте заново HijackThis и повторите логи.
В правилах (http://forum.oszone.net/thread-98169.html) ссылки на утилиты есть, в т.ч. и на Deckard's System Scanner

Всю софтину обновил,все логи вложенны в архив.
А чем плохи FlashGet и Registry Defragmentation ?
Задания делал я,могу и удалить конечно.


Так все впорядке но как то раз из майла вышибло с сообщением "запущен на другом ПК",вот и решил провериться. Можно конечно пароль сменить-тока вот если есть spyware или трояны то толку от этого не будет никакого :)

Ну и ещё по мелочи было...

(тем более осенью нашел такую троянскую штуку в компе которую каспер не видел)




Кстати - расшифруйте суть выполняемых скриптов-т.е. их конкретные действия.

Всю софтину обновил,все логи вложенны в архив »
новые логи (и от DSS тоже) надо было прикладывать к сообщению.
Про FlashGet можно почитать тут (http://www.viruslist.com/ru/weblog) - статья TrojanGet, правда дыру сейчас прикрыли... Если Registry Defragmentation и задания сами делали, можете не удалять, просто о проблеме вы ничего не написали, Registry Defragmentation могло иметь отношение к проблеме, имхо, к тому же не сильно полезная программа, для прироста производительности лучше отключить не нужные службы (можно почитать тут (http://www.oszone.net/2517/) и ещё статья Повысьте производительность компьютера
(http://www.microsoft.com/rus/smallbusiness/themes/upgrade-your-technology/speed-up-your-pc-performance.mspx) как то раз из майла вышибло с сообщением "запущен на другом ПК" »
скорее всего Mail.Ru агент глючил, кстати его тоже рекомендую деинсталлировать, по статистике больше зараженных систем встречается, когда установлен Mail.Ru агент.
Удалите полностью в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 или сохраните текст ниже как reg файл и примените
REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{061aaa24-d399-11da-a213-812256429ee7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{061aaa25-d399-11da-a213-812256429ee7}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{74022eea-c196-11da-a1d3-806d6172696f}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f1c4a7be-ccca-11db-859b-e80b4dc17170}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6936cad-a480-11db-a3b2-c70f5c906d31}]
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f6936cae-a480-11db-a3b2-c70f5c906d31}]
Выполните скрипт в AVZ
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\W','');
StopService('OMSCAN');
SetServiceStart('OMSCAN', 4);
DeleteService('OMSCAN');
DeleteFile('C:\W');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
для защиты от autorun cкопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Cdrom]
"AutoRun"=dword:00000000

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IniFileMapping\Autorun.inf]
@="@SYS:DoesNotExist"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\AutoplayHandlers\CancelAutopla y\Files]
"*.*"=""
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector (http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe) - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
это нужно? Если нет, выполните скрипт
begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
end.
в остальном логи (и файлы в карантине) чистые
расшифруйте суть выполняемых скриптов »
скрипт из поста 4 собирал файлы на карантин, из этого поста - удаляет OMSCAN и C:\W
Рекомендую почитать AVZ - справка по работе с программой (http://www.z-oleg.com/secur/avz_doc/), а также электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista" (http://security-advisory.virusinfo.info)

После выполнения
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\W','');
StopService('OMSCAN');
SetServiceStart('OMSCAN', 4);
DeleteService('OMSCAN');
DeleteFile('C:\W');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
У меня улетела заставка приветствия и вернулась стандартная это нормально ?
(был установленн XP LogoCanger,и приветствие My Mermaid logon)/остальное пока даже не стал трогать

PS-вот для этого я и спрашивал подробное обьяснение....

12341234, а стандартная не устраивает? Удаляли C:\W в автозагрузке и драйвер OMSCAN (со странным именем файла \Sys,
и по логу DSS название файла тоже странное), это не должно было повлиять на заставку. В списке Add/Remove Programs я не увидел ни XP LogoCanger ни My Mermaid logon, если вас это сильно беспокоит можете переустановить эти программы

Понимаю что странно - и мне интересно.Программа без установщика - исполняемый файл а папке с несколькими директорями для сортировки контента,в эту папку положенна заставка(ехе). Послие чего запускаеться прога и меняеться экран входа в систему-переустановить то я переустановлю,но вдруг это не совсем чистая софтина. А каком логе - может мне после того как переустановил по новой именно этот лог сделать ? Кстати могу дать софтину на исследование - весит 3мб.



C:\W снес(скрипт тот выполнил)-но это было ещё пару лет назад при установке винды после того как встали основные драйвера(думаю временная папка какянить может была)-в любом случае по этому пути никакого файла небыло.

По административным ресурсам и анонимному доступу - подводных камней быть не должно при выполнении скрипта ?

Программа без установщика - исполняемый файл а папке »
Эта программа прописывает OMSCAN и файл \Sys в C:\WINDOWS\system32\drivers\ очень не типичное поведение для программы-заставки, программу сами можете проверить на virustotal.com и отослать в ЛК на newvirus@kaspersky.com
А каком логе - может мне после того как переустановил по новой именно этот лог сделать ? »
не совсем понял, если эту программу установили, можете сделать лог HijackThis и в AVZ стандартный скрипт 2 выполнить (лог virusinfo_syscheck.zip)
По административным ресурсам и анонимному доступу - подводных камней быть не должно при выполнении скрипта ? »
из сети не смогут подключаться анонимные пользователи и на ресурсы C$, D$ - администраторы

ХМ-снова появился-правда состояние написанно "не запущен"

Зашел на вирустотал - результат самой проги:


Файл XP_Logo_Changer.exe получен 2008.04.14 19:34:52 (CET)
Результат: 2/31 (6.46%)
CAT-QuickHeal 9.50 2008.04.14 (Suspicious) - DNAScan
Panda 9.0.0.4 2008.04.14 Suspicious file
.

Что за вирус и насколько опасен ?

сама заставка (ехе)
Файл уже проанализирован:
MD5: 88bbd159aaf2e9768db8868f445ebd3f
Дата: 2008.04.14 06:01:56 (CET) [<1D]
Результаты: 0/32

12341234, отправьте на анализ в ЛК, они дадут окончательный вердикт

ок,как проанализируют отпишус

От них пришел ответ - мол ничего вредоносного в файле нету. Вот теперь сижу и думаю.

12341234, На ваше усмотрение, если большой надобности в этих программах нет, рекомендую оставить стандартные. Какие либо проблемы ещё наблюдаются?

Да так нет,большей частью были тока подозрения,тогда отключаю административный доступ и если не возникнет траблов то завтра закрою тему.



я вроде как аккуратный пользователь. за полтора года жизни вообще без антивируса был всего один вирус и тот по моей глупости-неподумавши воткнул флэшку с заразного ПК а когда воткнул через минуту вспомнил.... но было поздно - так решил отключить автозапуск :)

Pili
DNAScan technology continuously scans the system in the background and prevents virus infection
То есть, "DNAScan [technology]" относится не к проверяемому файлу, а к самому CAT-QuickHeal. Но что тот имеет в виду - что файл подозрителен, например из-за метода упаковки?

Erekle, Да, относится к самому антивирусу CAT-QuickHeal , точнее к технологии
DNAScan technology is designed to tackle the ever increasing virus and spyware menace that works without the signature updates and takes care of these frequent outbreaks before the signature updates is available....
The test has proved to be more positive with more than 80 percent of the new spywares, Trojans, bots, backdoors and worms were detected positively before the signature updates were released...
DNAScan works on the technique of deep code inspection with code analysis and characteristics classification that traces to the genes of the malware and its malicious intentions
короче эвристика, заметил, что часто срабатывает на чистые файлы, производители видимо проповедуют принцип "лучше перебдеть, чем недобдеть" )

Вроде все нормально после выполнения скрипта закрытия ресурсов. Тему можно закрывать.
Всем спасибо.