Второе.
Есть папка WinSxS – она?
Нет. Про WinSecurity спрашивал, потому что у кого-то, у кого эта папка создавалась трояном, имелись несколько темп-файлов (не dll-Ы) из вашего ассортимента.

AVZ. Я точно прописал графы, которые надо было трогать. Экспериментировать с программой не надо. Конкретно: включать режим противодействия перехватчикам уровня ядра просто так опасно для системы. Надо строго следовать инструкции автора. К тому же, для этого сначала надо установить соответственный драйвер. Пото надо делать только то, что ждать, когда перехватчик появится на сцене и примется за работу. К тому же, вовсе не известно, ваш троян просто троян или троян с таким перехватом.
Происшествие: зашла в файл, запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось
Я тоже надеюсь. :)
"В" какой файл "зашли"? Карантин - в смысле, включили опцию в графе "лечение"? Но я сказал: сначала лог.
AVZ должен детектировать всякий перехват системных функций, включая, конечно, совершаемые антивирусом и т. д. Но потом пользователь должен сначала разобраться, что из перехватов вредно, и что - нет. Представьте, что вы попытаетесь отнять у антивируса жизненно важный файл, который перехватил аж функции ядра системы. Хорошо, что у большинства антивирусов имеется защита себя любимого. :)
В графе Методика лечения включали только Hack Tool и RiskWare?
решила ночью проверить его AVZ-ом, и, вопреки запретам разработчика самостоятельно удалять подозреваемые программой файлы, удалила-таки для профилактики парочку на свою голову (настройки были на эвристику и анализ). Сейчас срочно понадобилось сделать откат на день назад - не получается! Создавать новую тему совестно, что делать не знаю, нужно срочно…
Что значит "для профилактики"?! :Ohmy:
Если удалили просто в корзину, то откройте её и восстановите те файлы. Не забудьте приметить, что они за файлы и где восстанавливаются.

Если удаляли через AVZ - не включали ли опцию в "копировать удаляемые файлы в infected" в Методике лечения? Если да - они будут в соответственной папке в каталоге программы.

И вообще: перед каким-либо действием нужно сохранить всякий лог - может понадобиться. Если какая-то программа не имеет такого лога, или если удалили что-то сами - надо сохранить в текстовом виде все возможные параметры, которые могут помочь при случае.

AVZ в принципе НЕ может удалить какой-либо системный или важный файл, потому что у него есть и база безопасных файлов, в который входят и файлы от известных антивирусных компаний. Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы)?

Корзину сразу очистила :( .
К сожалению, все мною описанные действия в avz, я провела ночью (на обеих компах), тогда же и произошли эти недоразумения. Сегодня вот только появились Ваши инструкции. Не знаю как быть (сканировала avz раза по три. Перехватчики были. Есть копия лога с большого компа :(

Сейчас еще раз пройдусь по Вашим текстам, отвечу на остальное.

("В" какой файл "зашли"? Карантин - в смысле, включили опцию в графе "лечение"? ) Нет. Левый верхний угол -файл. Выбрала: автокарантин, зашла туда, и т.д.

(В графе Методика лечения включали только Hack Tool и RiskWare?)
Hack Tool - лечить, остальное - удалять

(Если удаляли через AVZ - не включали ли опцию в "копировать удаляемые файлы в infected" в Методике лечения? Если да - они будут в соответственной папке в каталоге программы.)
Включала. Потом зашла в карантин и все файлы удалила. Но на большом)


(Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?) Один - из папки sistem32. Беленый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz.

Перед удалением файлов, в опасности которых не уверены до конца, желательно сохранять их в архиве под (простым - чтобы не забить) паролем. Он оттуда не выскочат.

На www.virustotal.com отсылать пустой файл нет никакого смысла, да и размером 161 байт - тоже. К тому же, как написано в цитате выше, троян хранит в этих файлах просто детали мессаджей.

Нет. Левый верхний угол -файл. Выбрала: автокарантин, зашла туда, и т.д.
А, Автокарантин. Но эта функция только копирует подозрительные файлы и не изымает ничего со своих мест.

Теперь буду знать.

А можно я после "всего-всего" сделаю теперь проверку по Вашей схеме на обоих компьютерах, отключив стенку и антивирус?

Включала. Потом зашла в карантин и все файлы удалила. Но на большом)
(чую неладное...)
Так какой был смысл во включении? :) Карантин - под замком.
Сейчас срочно понадобилось сделать откат на день назад - не получается!
Всё правильно сделано? Почему не получилось и что приводится причиной?
Это на большом, да? И лог подоспел.

Эти два файла и удаляли? Больше ничего? Если больше или другие - дайт полный лог.
Второй - нужно было. Расстроить функционирование Восстановления Системы он не может.
Первый - драйвер защиты электронным ключем HASP. Тоже удаляли? Но он лежит не в System Restore.

по Вашей схеме на обоих компьютерах, отключив стенку и антивирус?
Не моя и не схема. И не надо ничего отключать. После этого они наверное и не запустяся.
Просто нужны меры предосторожности. Антивирус и стенку не отключать. В AVZ: лечение не включать или включать с обязательным копированием. Потом Карантин и папку Infected - не очищать. Драйвер расширенного режима (AVZPM), AVZGuard, Ревизор, Автокарантин и т. д. - НЕ запускать. Опцию Блокировать работу RootKit (две графы) - галочку НЕ проставлять (только детектирование, что и включено по умолчанию).
Только анализ. Плюс в опциях: сканировать все файлы, эвристика - по максимуму и с Расширенным анализом. Дальше - только разбирать логи сначала. Ничего сразу не удалять руками, а если удалять - сохранить копии и параметры (как то - где лежали).
Тем более - если на обычном компе нет проблем с вирусами.
Ещё раз. В меню AVZ: Сервис - есть Менеджер автозапуска. Его лог интересен (сохраняется как HTML, с которого потом можно скопировать текст).

Делала откат системы на большом, как обычно, два раза. Попробую разок еще.


(Эти два файла и удаляли? Больше ничего? Если больше или другие - дайт полный лог.)
Из папок точно ничего больше, так как параллельно читала справку разработчика :)

(Второй - нужно было. Расстроить функционирование Восстановления Системы он не может.)
Тогда удалю!

(Первый - драйвер защиты электронным ключем HASP. Тоже удаляли? Но он лежит не в System Restore. )
Сейчас попробую найти эту папку и вернуть свою память назад - была я там или нет... Вроде нет

Давайте, если можно, я Вам лог не на общее обозрение вышлю, мало ли. Я теперь что-то всего боюсь :)



Я поняла, Вы по логу вопросы задавали - нет, оттуда я ничего не удаляла, но у меня там красным цветом очень много выделено. Я дала лишь выборочно.



Вернулась выше, прочитала дополнение к ответу. Хорошо. Возьмусь за дело. (значит, ситуация на моих компах критическая?)

Подредактировал предыдущее сообщение.

Тогда удалю!
Но сказали же, что уже удалено, а корзина и карантин AVZ очищены!
(Если нет - обязательно сохраните копию и все параметры из "свойств" файла.)

Из папок точно ничего
- то есть, удаляли через AVZ? Но что именно?
Насчёт лога - как хотите, хотя там нет никакой секретной информации. Из него можно узнать только имена файлов, которых программа подозревает (или не подозревает) и ничего более. Вот узнал пойском по Google, что у вас какая-то программа защищена системой электронного ключа. Ну и что?

У меня уже небольшая путаница. Это большой комп. Проблема с ним - только Восстановление Системы. Если проблемы с драйвером ключа причина этому, и если в логе этот драйвер присутствовал не в System Restore, и если вы удалили этот драйвер (?) - проблем с обычными вкючением компа и работой - нет?

Вернулась выше, прочитала дополнение к ответу. Хорошо. Возьмусь за дело. (значит, ситуация на моих компах критическая?)
Да никакая она не критическая, и, похоже, проблемы своим компам в первую очередь создаёте вы. :)
Не надо "взяться за дело"! Просто вы спросили про намерение поотключать антивирусы, и я сказал, что можно делать и что опасно. Ничего более.

Насчёт dll-ов в System32. Если они не изменяются, это означает, что трояна больше нет, а сами они (тем более пустые) никакой опасности не содержат. В таком случае надо думать, что антивирус удалил именно этого трояна - даже имя которого вы не запомнили - а эти файлы просто осталичь, как безвредные. Но для еверенности поищите указанный rsvp32_2.dll

"Тогда удалю!" - я тоже редактировала сообщение, выше смотрите, я думала Вы говорите не про лог, а про папку puncto :) (см. выше)

"Из папок точно ничего" - простите, тороплюсь, когда редактировала эту фразу, Вы ее уже успели цитатой вставить :) - я потом добавила слово, получилось, больше ничего (кроме того, о чем уже написала)

Прыгаю между двумя компами. Откат не удался.

Хорошо. Запускаю avz.

Это - с ноутом. Тогда останется проблема (силой созданная:) ) на большом - с Восстановлением на день назад. Но это критично? Нельзя ли сделать откат на два дня - если такое есть и если за этот период ничего не инсталлировалось? И в общем - зачем это восстановление-то? Что-то такое расстроилось в системе, что оно необходимо?

Ещё про ноутбук. Там Агава, да? И она говорит, что файл размером 0 байт опасно, да? Это означает, что она ищет вредность просто по известным именам файлов. :)

Записала случайно ярлык вместо папки, папку удалила. Ставлю диск, там ярлык - содержимого нет. Третий откат не получился. Попробую на четыре дня назад.
Агава и на ноуте и на большом. Ясно. Агаву убираю :)

Я поняла, Вы по логу вопросы задавали - нет, оттуда я ничего не удаляла, но у меня там красным цветом очень много выделено

я думала Вы говорите не про лог, а про папку puncto
Не по логу! По тому, ЧТО за файлы были удалены. Просто логично предположил, что удалили по "наводке" из лога. Если нет - так по какому критерию удаляли "для профилактики"?
А красный цвет - не критично.

"Из папок ... больше ничего (кроме того, о чем уже написала)
То есть - те, что приведены в обрывках лога, или те, которые перечислены в первом сообщении?

Запускаю avz
Вот об этом и говорил, что надо провести только анализ, а дальше разбираться с логом, - и никакого противодействия руткитам, никакого лечения с ходу и т. д.

Главное - не торопиться. У вас, похоже, сейчас никаких вирусов и нет.

Записала случайно ярлык вместо папки, папку удалила. Ставлю диск, там ярлык - содержимого нет. Третий откат не получился. Попробую на четыре дня назад
Немного не понял. Какие диск и ярлык? Это - в Восстановлении Системы?
Если не секрет - к чему этот откат нужен?

Из моего верхнего сообщения на третьей странице, цитата:
(Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?)
Один - из папки sistem32. Белый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это, уже знаю, переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz.

Вот про это говорила. 99,5 - критерий профилактики, но файл я пока оставила, так как не могла понять, что это за папка. Второй файл, уже не помню, но тоже предсказывал "большую опасность"
Файлы лога (удалила это сообщение на всяк. сл) - я в папках не искала, удалила их из карантина (я же три раза сканировала, настройки меняла и т.д. :( ).
Лог был с большого компьютера и речь шла о нем.

(Немного не понял. Какие диск и ярлык? Это - в Восстановлении Системы?
Если не секрет - к чему этот откат нужен?)
Не секрет. Откат нужен для восстановления удаленной папки, ярлык которой я записала на CD диск (глупо - вместо самой папки. Папка у меня хранилась на диске D, а ее ярлык -на диске С. Вот ярлык я и записала =)
а папку удалила.

Откат нужен для восстановления удаленной папки, ярлык которой я записала на CD диск (глупо - вместо самой папки. Папка у меня хранилась на диске D, а ее ярлык -на диске С. Вот яhksr и записала
А кто сказал, что откат вернёт ту папку?!
Если удаление папки не давнее дело, если на Д места много, а папка занимала мало места, если на Д особой активности по записи не было после удаления - можно восстановить программой для этого. Если эти условия соблюдены, могу закачать такую программу куда-нибудь и сообщить ссылку по профилю пользователя.

Из моего верхнего сообщения на третьей странице, цитата:
(Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?)
Один - из папки sistem32. Белый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это, уже знаю, переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz.

Вот про это говорила. 99,5 - критерий профилактики, но файл я пока оставила, так как не могла понять, что это за папка. Второй файл, уже не помню, но тоже предсказывал "большую опасность"
Файлы лога (удалила это сообщение на всяк. сл) - я в папках не искала, удалила их из карантина (я же три раза сканировала, настройки меняла и т.д. ).
Лог был с большого компьютера и речь шла о нем.
Белый квадрат с синей полоской - ничего не говорит. Как звали бедного? :)
Ничего от puncto не трогать. Он, конечно, перехватчик определённых событий. Вот AVZ и должен детектировать.
Другие файлы удаляла из avz - какие другие и как назывались? Это и есть "Второй файл"? И какой - так и не понял, что оставили пока от puncto: тот файл или папку?
"я в папках не искала, удалила их из карантина" - а до того удалили с основных мест с помощью включенного лечения?
В общем, если лог поможет, то он нужен. Примечание: если комп с тех пор включается нормально, и проблема только с откатом, то причиной может быть только удаленный файл с System Restore (или как по-русски). Если такой важный файл был Dll, то ничего узнать не гарантировано, потому что эти файлы, как правило, в System Restore получают случайные числовые имена...

Белый квадрат с синей полоской

Понятно - exe-файл без иконки. Процентов на 99 - он имел также какой-нибудь номер вместо имени. По этому параметру никак не установить, какое имя имел файл в основном месте, откуда был скопирован в System Restore (тем более, если это троян какой-нибудь со случайным номером - а на большом у вас их не было вроде, да и не будет его отсутствие мешать откату). А то можно было, если б имели в распоряжении такое имя, и если это важный файл для системы - скопировать его из основного места в System Restore...
Боюсь, что проблема с откатом (если она вызвана удалением какого-то важного для отката файла с System Restore) неразрешима. Тем более, что папку он не восстановит. Может быть - только exe и dll файлы и документы (сомнительно) с неё.

(Если удаление папки не давнее дело, если на Д места много, а папка занимала мало места, если на Д особой активности по записи не было после удаления - можно восстановить программой для этого. Если эти условия соблюдены, могу закачать такую программу куда-нибудь и сообщить ссылку по профилю пользователя)
УРА!!! Спасибо за хорошую новость! (Удалила сегодня утром) Пожалуйста, закачайте куда-нибудь эту программу.

(Белый квадрат с синей полоской - ничего не говорит. Как звали бедного?)
Точно не помню, но нехорошо, мне не понравилось :)
В puncto все живо. И папка, и файлы. Как-то там все аккуратно было расставлено, жалко было порядок менять :)
Другие файлы – трудно сказать сейчас что это могло быть. Еще одно что-то точно удаляла из папки, не помню что, - одновременно на обоих компах была запущена avz …

Erekle, спасибо Вам большое, столько времени потратили на все это. Возможно, для Вас это хобби, но мне точно досталось по уши. Башка набекрень. Попробую прочитать тему еще раз, прояснить для себя ситуацию, может, обойдусь пока без avz? Поищу тот файл, о котором Вы говорите, – rsvp32_2.dll - поиск пока нашел только rsvp32_2.dll345, rsvp32_2.dllerter, rsvp32_2.dllret.

P.S. на будущее, ...жалко, что отката не будет больше на компе.
(Понятно - exe-файл без иконки. Процентов на 99 - он имел также какой-нибудь номер вместо имени) Нет, название было из 4-5 букв, невзрачное (была там буква h или n, набор согласных в основном, без dll, удалила я его, конечно, по "наводке" лога)

Это не хобби уж. :)

жалко, что отката не будет больше на компе.
Кто сказал? Я имел в виду, что проблемы могли быть с последними точками отката, и что это теоретически могло быть вызвано этими удалениями. Всё собирался спросить: а правильно ли пытались восстановить? Раньше пробовали?
(я даже не знаю, как его вывести напрямую в запущенной системе. :) Ищу System Restore в Help and Support, и там выбираю в списке Run Sustem Restore Wizard. Дальше понятно.)

Удалила сегодня утром
Корзина, разумеется, очищена? Там нет этой папки?

Теперь. Ссылка на программу - в профиле. Открываем страницу, внизу нажимаем на FREE, и ждём, пока на следующей странице появится картинка. Надо будет вВести код, что на картинке. Скачать, вынуть из архива и запустить согласно порядку, что в сообщении по профилю.
Сначала провести эту операцию, потому что с каждой новой записью чего-либо на тот же диск шансы на восстановление уменьшаются

может, обойдусь пока без avz?
На большом - там же не было вирусов-троянов? - точно да.
Для не очень подготовленного пользователя он должен запускаться только при наличии (или после) вирусов на компе, и только для анализа - разве что в опциях повысить уровень эвристики и выставить "сканировать все файлы". Плюс - проверять Менеджером Автозапуска, что в меню "Сервис". И не удалять ничего безоглядно.

Теперь:
rsvp32_2.dll345, rsvp32_2.dllerter, rsvp32_2.dllret
Это на ноуте, да? И все в System32? И с расширениями dll345, dllerter и dllret? Весьма странно. Что, AVZ и антивирус их не видят?
Во-первых - только спокойствие, ничего особенного. :)
Вот, к примеру, цитата
browsemu.dll c:\windows\system32 Trojan.PWS.GoldSpy Deleted.
VBAOL11.CHM\html/olobjAddressEntries.htm C:\Program Files\Microsoft Office\OFFICE11\1043\VBAOL11.CHM Modification of VBS.Petik
VBAOL11.CHM C:\Program Files\Microsoft Office\OFFICE11\1043 Archive contains infected objects Moved.
777.exe\data002 C:\WINDOWS\777.exe Trojan.Spambot
777.exe C:\WINDOWS Archive contains infected objects Moved.
999.exe\data002 C:\WINDOWS\999.exe Trojan.Spambot
999.exe C:\WINDOWS Archive contains infected objects Moved.
rsvp32_2.dll C:\WINDOWS\system32 Trojan.Spambot Deleted.
rsvp32_2.dll345 C:\WINDOWS\system32 Trojan.Spambot Deleted.
rsvp32_2.dll3f2tj C:\WINDOWS\system32 Trojan.Spambot Deleted.
rsvp32_2.dllerter C:\WINDOWS\system32 Trojan.Spambot Deleted.
rsvp32_2.dllret C:\WINDOWS\system32 Trojan.Spambot Deleted.
Всех с этими именами - умертвить безжалостно. :)
browsemu.dll - с "r" - а я удивлялся, почему в инете нет. Это - Trojan Goldun. При правильном обращении с антивирусом должен удаляться безболезненно. Но в идее могут быть проблемы с сетью (интернет, ICQ...). У вас этого нет и не было? Это к тому, что если таковое есть, может быть, потребуется восстановление настроек сети. Тоже ничего особого, просто следует сделать это не в спешке. Всего одно небольшое действие.
Можно было привести множество ссылок, но если проблем с сетью нет, хватит и удаления этих файлов, а то в спешке можно народить ещё проблем. :)

Под хобби, подразумеваю, помощь чайникам вроде меня. В остальном, догадываюсь, что Вы специалист в области компьютерных вирусов.

Раньше откат шел безукоризненно.

Корзина всегда пуста – привычка.

Сеть в порядке (Интернет, ICQ работают)

Да, это файлы ноута, но не могу в это поверить, - они исчезли! Может, запущенный антиспай агнитума их удалил? (запускала час назад. И обновление виндоуз как раз после этого было, перезагрузка… Не знаю, что и думать: Поиск их больше не видит! ) (если они не сами переименовываются после того, как их находишь, то как их можно еще найти?)

Большое спасибо за программу, отправила подтверждение, открою ее когда проснусь (у нас утро), отпишусь как все получилось.
:)

спасибо за программу, отправила подтверждение
(По письму "В дополнение"? Там было и первое (если не смотрели; подтверждение было только по второму))

не могу в это поверить, - они исчезли! Может, запущенный антиспай агнитума их удалил? (запускала час назад.
Если антивирус или антиспай соизволили, то должны были записать об этом на память в своём журнале. Есть такое?
Скорее всего, их временно создаёт основной файл, как же и те DLL-ы, в которых хранит детали рассылаемого спама.

rsvp32_2.dll
Маловероятно, чтобы его не было, а "спутники" бы имелись. В этом названии - .dll - расширение файла, оно у вас не должно быть (по умолчанию) включено. Но если вводить в строке поиска имя с расширением, то поиск будет вестись по этим буквам - не меньше.
Поэтому поищите только по имени файла: rsvp32_2

Интернет, ICQ работают
Точнее: замедления скорости по сравнению с периодом ранее - нет?

догадываюсь, что Вы специалист в области компьютерных вирусов.
Нет, это уж слишком. :lol: :rolleyes: :no:
Я, может, и "эксперт" по сравнению с "чайником" - но ЧАЙНИК по сравнению со специалистами.