Войти

Показать полную графическую версию : Трояны - [Архив]


Страниц : 1 2 3 4 5 6 7 8 9 10 [11] 12 13 14 15 16 17

perchinka
06-04-2007, 03:47
Erekle, огромное спасибо, восстановилась значительная часть документов.
Оказывается, несчастная папка хранилась все же на диске С, а там у меня, к сожалению, FAT (на диске D -NTFS). Подозреваю, это и было причиной неполного восстановления папки.
Повторила операцию, используя эвристический метод восстановления (для FAT), результат остался прежним.
Но все равно, здорово. Часть документов уцелела, и то хорошо. :) Программа отличная.
Перейду полность на NTFS и постараюсь не делать таких глупых ошибок.
Запустила avz на ноуте. Со всеми настройками. Если можно, поделюсь с Вами, результатом.
Да, поиск снова нашел rsvp32_2, как Вы и сказали, – по имени файла. Но "главного-страшного" среди них не было, новых тоже. Все удалила.
Кроме того, конкретно искала dll-файл весом 90 112 Bytes. У всех, что нашла (ок. 10-12), были официальные адреса. Надеюсь, это конец, и в моем ноуте чисто.

P.S.Несколько документов изменило кодировку и прочитать их уже нельзя, – еще в программе, в списке, до восстановления, на эти файлы были открыты дубликаты – в нормальном режиме такое случается, когда документ вовремя не сохранен, и при выключении системы остается как бы его тень. Мои – в свое время были, конечно, сохранены. В графе Ущерб - против и некоторых закрытых и не закрытых - стоял 0. Между тем, не получилось их восстановить. От этого недуга не бывает лекарства?:)

(Я, может, и "эксперт" по сравнению с "чайником" - но ЧАЙНИК по сравнению со специалистами.) Звучит ободряюще :)

Еще раз спасибо за программу и главное - за помощь.
:)

perchinka
06-04-2007, 04:33
Цитирую себя (пост выше): От этого недуга не бывает лекарства?

Оказывается, бывает. Все "тени" документов сложила в одну папку, и настоящие документы открылись!
Потерялось совсем ничего, процента 2.
:)

Erekle
06-04-2007, 06:04
Подозреваю, это и было причиной неполного восстановления папки.
Повторила операцию, используя эвристический метод восстановления (для FAT),
Я даже не знаю. :) Знаю, что программа замечательна (конкретизировать - НЕ надо) и что имеет обычный и глубокий режим. Больше ничего.
Несколько документов изменило кодировку
Скорее, на место, занимаемое ими, частично была переписана новая информация.

Не забывайте, что для успешного восстановления файлов необходимо ничего не записывать на том диске, откуда собираеися восстанавливать (и не включать программы, которые там работают, а если это системный диск - ограничиться минимальной активностью до восстановления), провести восттановление как можно скорее, и записать восстановленную информацию не на том диске.

Ещё раз: надо обращать внимание на статус файлов (может, они не удаленные, а существующие) и на степень целости. Для документов есть смысл попытаться восстановить не вполне сохраненные - может удастся прочитать и спасти хотя бы часть.
И главное - с этой программой тоже нужно быть очень осторожным и проделать всё неторопливо и много раз взвешивая, не навредит ли наше действие другим файлам и чему-либо вообще.

Да, поиск снова нашел rsvp32_2, как Вы и сказали, – по имени файла. Но "главного-страшного" среди них не было, новых тоже. Все удалила.
Кроме того, конкретно искала dll-файл весом 90 112 Bytes. У всех, что нашла (ок. 10-12), были официальные адреса.
"Основной файл" по моей терминологии и "главный-страшный" по вашей - тот самый rsvp32_2.
Всё равно перепроверите поиском. Конкретно, нет ли на системном диске rsvp32_2 и этих "родственных" файлов, которые теоретически могут быть:
777.exe
999.exe
yzdock.exe
msnetax.dll
ipv6mons.dll
ipv6monk.dll
redswoosh.exe
cel90xbe.sys
szr_dr.sys
System.dll (с последним поосторожнее, если system "засветится" без расширения "dll". Имя system - у многих и многих легальных файлов, нам же "нужен" только System.dll)

Размером 90 112 - официальные адреса - как-то Майкрософт и т. д.? Если нет - не удалить, но разобраться поглубже.
Анализ с помощью AVZ проводите только по дважды перечисленным советам. До поры до времены - до более уверенного освоения программы и её Справки.
И под конец: надеюсь, постоянный монитор интернета и файлов на диске у антивируса включены.

perchinka
06-04-2007, 16:27
Из "родственных" засветился только один, зато в двух экземплярах.
System.dll – имя целиком поиском не находилось,– задала поиск по dll – обнаружилось 2 таких файла.
System.dll - Информация:
Свойства: неизвестное приложение
Размер: первый - 1,12 МБ (1 179 648 байт), второй - 1,16 МБ (1 224 704 байт).
Cоздан: 4 авг 2006 изменен: июль открыт 6 апреля
Версия продукта: 1.0.3705.6018, у второго - 1.1.4322.2032
Авторские права: Copyright (C) Microsoft Corporation 1998-2001. All rights reserved.
Удалить?

Информация одного из пяти одноименных файлов, имеющих размер 90 112 байта (88 КБ), столько же на диске:
cscompui.dll – тип файла: Application Extension,
Неизвестное приложение
Описание:Visual C# .NET Compiler Error/Warning Messages
Авторские права: Copyright (C) Microsoft Corporation. All rights reserved.
Смутило описание.

(надеюсь, постоянный монитор интернета и файлов на диске у антивируса включены)
:)Включены. Настройки монитора NOD32 такие же как здесь: http://subscribe.ru/archive/comp.hard.zapiski/200608/13161131.html
(почему-то не получилось грамотно вставить ссылку...)

Erekle
07-04-2007, 00:37
System.dll - Удалить?
cscompui.dll
Нет и нет.

НОД - главное, чтобы его модулы были включены, то есть - проставлены галочки (в правыхм окнах для каждого компонента, которые появляются, если кликнуть по модулям в окне Центра контроля; ну и настройки там же).
кроме «Расширенной эвристики» и «Упаковщиков», потому что они не подходят для регулярной проверки системы, ввиду своей медлительности и тормозов
"Расширенную эвристику" полезно включить. Ложных срабатываний конечно больше, но обнаружения неизвестных или модифицированных вирусов - тоже. И у НОД-а последнее получается хорошо (один из лучших по этому параметру)
Впервые узнал, что AMON - резидентный модуль - проверяет файлы "после каждого перезапуска компьютера". :) Это постоянный резидент, проверяющий каждый файл, к которому система обращается тем или иным образом. Вот этот модуль и должен быть включен в первую очередь. Но в статье акцент сделан на обычном сканере, запускаемом пользователем. В то время, как главная задача антивируса - контроль процессов и активных файлов, включая сеть, чтобы не допустить прорыва. Потом может быть поздно.
NOD32 - настройки по максимуму (пошаговое руководство)
http://www.wilderssecurity.com/showthread.php?t=37509 )

perchinka
07-04-2007, 01:48
Здорово! Спасибо за "умные" настройки NOD!

Похоже, ноут спасен, засяду-ка я теперь за большой комп =)...
(ну Трояны, держись у меня!)
:)

kop4enyi
27-04-2007, 20:09
Уважаемые, как то и откуда то лезит троян:( Удаляю, дня через два опять он тут как тут:( Может подскажет кто ,что за зверь?
http://keep4u.ru/imgs/b/070427/495198ca073c0338be.jpg

Erekle
27-04-2007, 23:57
Вы удаляете не "троян", а ключи реестра, созданные (якобы) трояном.
Если прога говорит, что эти ключи создал такой-то троян - который есть файл - то где этот файл и почему прога не видит его? :)
Banker BQQ Trojan attempts to capture, record and steal online banking information.
Vendor - na
Vendor URL - na

Banker BQQ Trojan Characteristics
-----
Страшно как... Это с родного сайта (http://paretologic.com/resources/definitions.aspx?remove=Banker%20BQQ%20Trojan) уважаемой программы. Если ничего о вредных действиях "трояна" не известно даже производителю, то можно спать спокойно. :) Для большей уверенности можно пройти в реестр и убедиться, что там для ключа "не изменять старт-меню" выставлено значение 0, или 1. В любом случае это не трагедия и, как минимум, никакого отношения к "краже банковских данных" не имеет. А после можно заключить, что данная уважаемая программа сама - ну, не троян, но по духу далеко не лучше.
Что говорит, к примеру, такой уважаемый автор, как Sophos?
When run Troj/Banker-BQQ copies itself to <Windows>\MEDIA\WinetWork.exe and sets the following registry entries to run Winetwork.exe on startup:
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
WinetWork
<Windows>\MEDIA\WinetWork.exe
Тут мы хоть файл имеем на руках, а этот Spy...Xoft :) кричит на пустой ключ, притом - без какого-либо вразумительного повода связать это с Banker BQQ. Очевидно, производитель, составляя/обогащая свой "чёрный лист", добавил в него прочитанное где-то в интернете, что какая-то модификация этого трояна вместе с другими действиями копается и в этих ключах. Ничего больше.
А значения эти, если и несовпадают с установкой по умолчанию, может изменять любая программа или сам пользователь. Может - и троян, но для отлова троянов и вирусов советую любую другую программу, устроенную не на принципе "чёрного листа", - не этот же. :)

Saule
28-04-2007, 01:54
Верно, XoftSpy детектирует как троянов два параметра следующего ключа вашего реестра:
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
Параметр 'NoClose' удаляет кнопку "Turn Off Computer" (выключение) из меню "Start" ("Пуск").
Параметр 'NoChangeStartMenu' запрещает пользователю изменять меню "Start" ("Пуск") с помощью перетаскивания элементов.

Именно эти настройки и не нравятся этому "антитрояну". Я бы на вашем месте действительно просто снесла бы XoftSpy (всё-таки когда-то эта программа была занесена в "черный список" из-за чрезмерных ложных срабатываний и вводящей в заблуждение, агрессивной саморекламы).

Erekle
28-04-2007, 03:28
Очень не хочется говорить ещё - много и во многих местах ругал эту программу - но должен повторить: другой "антишпионский" продукт этой компании сказал мне об одной библиотеке от МС, что её поставила одна программа для контроля детей родителями (тоже легально ведь), и в "доказательство" принёс аргумент, что функционирование этой программы (т. е. "подглядывать" за кем-то) описана на каком-то файловом сайте (к примеру, к таким общесодержательным сайтам можно отнести и soft.oszone). Однозначный вывод: авторы "антишпиона" просто рыщут по инету и собирают сведения о таких - легальных - программах, а потом заносят в "чёрный список" и все файлы, имеющие отношение к таким программам, автоматически становятся "объектами с высоким риском". И XoftSpy, проходящий весь диск за минуту-другую, конечно же, не сканирует файлы, а просто сверяет их названия и ключи реестра со своим "чёрным листом"
Это уже не просто ложные сообщения, а мошенничество.

kop4enyi
28-04-2007, 03:47
Спасибо, вам, всем:) А какой посоветуете Антишпион?

yurfed
28-04-2007, 03:50
kop4enyi По мне лучше использовать Spybot - Search & Destroy (http://www.safer-networking.org/ru/spybotsd/index.html). Ни чем не хуже и бесплатна.

Erekle
28-04-2007, 04:01
Смотря, что понимать под этим - с монитором или как сканер, которым проверим иногда.
Если первое - AdAware (http://www.adaware.ru) - но только Pro.
Если второе - AVZ (http://www.z-oleg.com), AVG Anti-Spyware Free (http://free.grisoft.com), A-squared Free (http://www.emsisoft.com).

yurfed
28-04-2007, 04:20
Erekle Не понятно кому ты ответил, но достаточно иметь антивир, фаервол, а перечисленным выше - которым проверим иногда.
Маниакальная защита, наверно перебор :)

Erekle
28-04-2007, 06:48
yurfed, ответил коллеге. :confused: Конечно, антивирус - в первую очередь. Прошли времена классических вирусов. Теперь в базах антивирусов подавляющее (абсолютное?) большинство таких, на которых раньше специализировались антишпионы. Но и среди антивирусов есть различия - отдельные категории вредности одни ловят лучше, другие - хуже. Так же - кое с чем лучше справляется какой-нибудь антитроян-антишпион. К примеру - Пинч. Говорят, его модификаций - где-то 700. Часть из них специально "заточена" под Каспера, часть - под НОДа и т. д. Таких "специальных" предварительно избранные "жертвы" конечно не видят, а потом их поклонники спорят по разным форумам, какой антивир ловит Пинч. :) Но вот у меня одного такого не видел ни КАВ, ни НОД, ни (разумеется) штатный Симантек, но преспокойно увидел тот же AVG Anti-Spyware. Страницу с вредным кодом, по которой притащился тот, опознал только тот же AVG и один-единственный (малоизвестный) антивир на ВирусТотале. Так что ХОРОШИЙ антишпион, как и нормальный сканер в дополнение, будь то антивир или антишпион, никак не помешает. Вот, почему-то, эффект обнаружения тем же АВЗ у меня традиционно довольно низкий, но будет он на компе, пока будет комп. А АдАваре - почему же не воспользоваться его монитором реестра? Это ведь не "иногда"?
Что же до Спайбота... Хотя тот очень помог недавно коллеге, подтверждаю - не хороший он, середнячок. :)

Tigr
01-05-2007, 20:28
А АдАваре - почему же не воспользоваться его монитором реестра?
Он будет встревать во всех случаях изменения записей реестра. Не уверен, что кому-либо захочется долго и вдумчиво его настраивать и все равно не избавиться от ложных срабатываний. Мой опыт я изложил, например, здесь (http://forum.oszone.net/post-581818-18.html).

Erekle
02-05-2007, 02:19
Да, читал, но... AdAware SE - просто как сканер, но как сканер, тот не годится. Есть же тесты... Разве что для копания в реестре.
А монитор мне надоел скоро и именно из-за крика на любое изменение, скоро умерл диск и потом я не возобновлял с программой. Но AD-Watch следует иногда пользоваться - например, при установке или наличии чего-то подозрительного.

windsurfer
18-05-2007, 15:37
Господа - не нашел конкретного ответа, поэтому новый топик.

Ситуация:
Выделенный айпишник. Вынь ХР, нод32 (лицензия). Вчера отрубили интернет, позвонил провайдеру - сказали, с моего адреса шлется спам. Прогнал все нодом и адварой, ничего не нашел. Пошарил по реестру - тоже ничего. Самое главное, что netstat не показал, что на 25 порту висит что-то (хотя, может, он периодически активизировался). Выход простой - убил систему (так как не знаю, был ли очередной бэкап поражен), отформатировался, переставился. Пока, вроде, чисто.

Соответственно, задался вопросом - а какими тулзами можно защищаться? И вообще, как эта хрень могла сесть на машину - ведь сама себя она записать не могла просто из сети, нужно было что-то открыть/скопировать (сам не открывал, а вот где по сети ползает моя девушка, не в курсе). Фактор пользователя, или хреновой защиты?

В общем, какими тулзами защищаться лучше?

CyberDaemon
18-05-2007, 15:56
ведь сама себя она записать не могла просто из сети
Еще как могла. Через дыры в броузере. Ко мне так неизвестный касперу троян пролез (базы были вчерашние!), но был застукан каспером при попытке вылезти в инет и прописаться в автозагрузку.

windsurfer
18-05-2007, 16:03
Хех, ну да, по идее, через 135 et.c. порты... чего-то я забыл.
На самом деле, получается, что я поднимаю вопрос о связках программ для защиты - оно уже было.

Тогда переформулирую -
что засунуть в связку с Nod32 2.7 в качестве файрвола? Аутпост уж очень не люблю...

Вообще, порекомендуйте хорошую связку с нодом - почитал аналогичные посты, но так ничего полезного и не вынес. Многие ратуют за аутпост, однако, есть к нему личная неприязнь. В качестве сканера кого засунуть?




© OSzone.net 2001-2012