Антивирусники не видят вируса! как его убить?
 

Хапускала на компе и cureit и Avast показывает, что вирусов не обнаружено , а по логам они есть. Что это за бяка и как ее убить

В AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".
Anti Trojan Elite - деинсталлируйте через установку/удаление программ
Повторите логи virusinfo_syscheck.zip и hijackthis

Pili, спасибо. Делаю

Pili, Anti Trojan Elite нет в списке программ, почему это может быть и можно ли ее уудалить просто папку св корзину или тогда она удалися не полностью?

выделила, вставила пишет, что скрипт выполнен без ошибки.
Сейчас я обновляла базу для Avira и после обновления выловила еще 3 вируса. Может гадость эту уже цбила или просто что-то не так сделала?

тогда пока не удаляйте, позже скриптом удалим
какие файлы?
пока карантина и новых логов не вижу

Я этот код копирую в В AVZ - файл - выполнить скрипт ?
Он пишет скрипт выполнен без ошибок? и компьютер не перегружается.
Дальше просто выполнять скрипты как и раньше?
А первый код в Вашем сообщении это что?

F2 - REG:system.ini: UserInit=userinit.exe,
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
во этот код я хотела написать

Наверное в карантине AVZ.

Severny, и что дальше делать посоветуешь?

И еще вопрос не совсем в тему, конечно. Посоветуйте какой-нибудь Firewall с русским интерфейсом желательно или в DrWeb,который я хочу установить он встроенный?

В AVZ нужно выполнить сначала первый код скрипта, компьютер перезагрузится. После перезагрузки второй.
А третий код Fix checked в программе HijackThis.
Пожалуйста, почитай внимательнее. Выполни все до конца.

В Dr.Web нет встроенного файрволла. Если не тайна, почему этот выбор?
Может быть Comodo?
Прямая ссылка на русскую версию.
Устанавливай только после того, как полностью будет вылечена система.

З.Ы. Подожди пока устанавливать антивирусы и файрволлы один за одним. Дождись окончания лечения. Иначе рискуешь привести систему в неудовлетворительное состояние, попросту говоря бардак.

Severny, выбор в смысл DrWeb? да я вообщем еще и не решила. скачала Avira? пока ей проверяюсь но отсутствия русского интерыейса напряггает. Хорошо буду лечить систему, сейчас логи вышл.

Pili, Вы адрес почты правильно указали? Пытаюсь выслать пишет не корректный адрес.....

Вместо [at] подставь собачку.

Severny, вот дурында, действительно там собачка должна быть, а я просто скопировала и втавила. Выслала, толко не пойму файл прикрепился или нет. больно быстро как-то отправил

Pili, выполнила 2 срипта, потом запустила hijackthis.exe, после нажатия Fix Checked". компьютер опять перегрузился, а третий код получается я не использовала. Что сделала не так?

Попыталась повторить запуск hijackthis.exe, после нажатия Fix Checked". выдает такую картну.


http://keep4u.ru/full/080516/a3be2d8570f5c9637f/jpg

Не знаю правильно я делала или нет я при запуске AVZ и hijackthis.exe тоже отключала восстановления системы и все программы

И еще вопрос DrWeb, который сканер, он не обновляет базу, а при обновлении просто его нужно заменять на более свежую версию так?

Pili, письмо пришло? или продублировать в личку еще, что-то я не уверена прикрепился файл или нет

Почему у тебя в HijackThis галочки перед всеми значениями стоят?
Их нужно поставить только перед теми двумя, которые Pili указал!
(даже смайлика такого нет весь ужас выразить).

Да, он не обновляет базы, а только скачивает новую версию.
Это только сканер, тебе нужен полноценный антивирус.
Рекомендую поставить для ознакомления Касперский KIS. Там и антивирус, и файрволл. Ссылку я давал.

Лина, Карантин пришел, в нем только один файл winampa.exe - чистый, судя по ini, остальных файлов, затребованных в карантин, нет на диске.
Антивирусы перед выполнением скрипта отключали?
не вижу повторных логов virusinfo_syscheck, hijackthis
судя по картинке вы пытались фиксить в Hijackthis все строчки, не надо этого делать, иначе вам придется переустанавливать windows, фиксить надо только те строчки, которые были указаны.
если хотите актуальных баз - ставьте полноценный drweb, иначе надо каждый раз скачивть cureit заново

Severny, ужас в том что видимо я уже накосячила, сейчас переделала все занова, первый скрипт выполнила, второй запустила-сразу выдал скрипт выполнен без ошибок, дальше запустила hijackthis там таких строк не нашла уже, блин, идиотка.... вообщем вот что там есть
http://keep4u.ru/full/080517/82bef0763193306f07/jpg
. Сильно я все испаганила а????
сейчас еще раз вышлю карантин

Чет блин сама перпугалась...

Вот новые логи, надеюсь я еще не все испортила.................

Чистая автозагрузка -- это даже хорошо.

Чтобы отключить потенциально опасные службы, можешь выполнить этот код в AVZ.

Теперь тебе нужно определиться, какой антивирус поставить или оставить. Он должен быть один. Сейчас у тебя два.

Теперь буду по десять раз все переспрашивать, этот код в AVZ запускаем выполнить скрипт?

Яб оставила Avira только настроить толком не могу с английским меню на автозапуск, автообнавления и пр. , а Касперского я как-то устанавливала пробную версия, потом решила его удалить,а он зараза никак удалятся не хотел, только вручную с реестра убрали, теперь как-то настороженно к нему отношусь, а Авест свой сегодня уберу, надежды как вижу на него никакой..

Лина, Да.

Drongo, спасибо!

Severny, А можно этот скрипт запустить вручную, например вставить Ваш текст:

читать дальше »

Код:

---

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
end.

---

в Блокнот, сохранить его с расширением, например так StopService.js, и запустить двойным щелчком, это будет одно и тоже, что через прогу, что так?!

Лина, На здоровье. :)

Drongo, а может ты еще и знаешь как настроиь Avira? :)))

Drongo, раз уж ты отозвался сейчас завалю тебя вопросами. :))))))))) У меня есть диск с касперским 6, там код отдельно идет в блокноте. Что это копия с лицензионки снята или как понять и как действовать с этимключем если я захочу установить его?

Drongo, сделала скрипт, после запустить сразу выдал скрипт выполнен без ошибок, так и должно быть?

Лина, Отвечу, поделюсь с удовольствием, если буду знать, ответы сам.
1. Врать не буду. Не знаю. :dont-know в силу того, что не использовал эту программу. У меня Касперский стоит.
2. Если быть честным, то вопросам не понял. Какой код? Было бы лучше если бы Вы привели его содержание. А если установить ключ для Касперского, то при установке переключите переключатель в положение Использовать полученный раннее ключ - укажите ключ - Далее - Готово.
3. Раз без ошибок, то хорошо. :)

Нет, они выполняются только в программе.

Касперский будет у тебя работать до первого обновления, дальше код будет в черном списке, и, как следствие, полноценно работать не будет. Насчет ознакомительной версии -- это такая же версия, как и обычная, только работает месяц, далее требует ввода ключа.
Чтобы удалить Касперского корректно, нужно было его просто отключить, а после удалять. Во всяком случае есть специальная утилита для удаления остатков Каспера. Не нужно ничего удалять в реестре.

Что именно ты хочешь там настроить? Он по умолчанию нормально настроен.

Переустановила ее, заработала вроде нормально, а до этого не обновлялась и не запускалась сама, только принудительно для проверки

Яндекс онлайн предлагает всем пользователям бесплатно пользоваться антивирусником касперского. Это специальная какая-то урезанная программа или полноценный каспер случаем не знаете??? Что за благотворительность..

забыла ссылку дать на яндекс этот http://online.yandex.ru/?from=kaspersky

Лина, Это не благотворительность, а маркетинговый ход по привлечению пользователей к обоим.
Можешь поставить этот комбайн. Будешь лицезреть яндекс-тулбар все время.
По настройкам не знаю, не пробовал, но базовая защита будет.

с маркетинговым ходом все понятно, другое дело если предлагать всем ползователям яндекса полноценную версию касперского, то выгода для яндекса напрямую, а вот с касперским сомнительно, еслиб на 2-3 месяца, а потом хочешь вырубай все , хочешь ставь лиценз тогда понятно, а так продажи лицензионного касперского для домашнего пользователя по идее должны упасть и значительно, вот я и сомневаюсь в полноцености защиты., может некоторые функции будут не доступны. Думала может кто пользовался, а так сама установлю, не понравится уберу.

Лина, по логам у вас всё ещё 2 антивируса, оставьте один. В hijackthis вы все таки видимо пофиксили больше чем надо, можете восстановить то что надо через Hijckthis (в правилах есть описание)
Скачайте SDFix - описание тут, проверьте компьютер, после проверки прикрепите Report.txt к сообщению и сделайте новый лог virusinfo_syscheck.zip (он не долго делается)

Pili, спасибо. Обязательно все сделаю. Пофиксила ,конечно, больше. Покас еще и не знаю что надо удалилось.Не все проверила.
Я была рада что компьютер вообще загрузился:) Антивирусник уже один. Вчера Авест удалила. Оставила Авиру

А это результат Fix checked всех значений в HijackThis :) :) :)

, дану и ладно, зато и врагов покрамсала: ) :):)

Лина, выполните ещё скрипт
поищите в C:\Program Files\Anti Trojan Elite файл uninst.exe - деинстлляция, если не найдете можно ещё выполнить такой скрипт
и удалить каталог C:\Program Files\Anti Trojan Elite
ждем лог от SDFix c:\Report.txt и virusinfo_syscheck.zip,

Все. вернулась с работы, делаю скрипты

Pili, вы написали скачать SDFix, а по ссылке скачивается VundoFix, может это и одно и тоже но в руководстве работа с SDFix. Как посткпить?

Pili, вы написали скачать SDFix, а по ссылке скачивается VundoFix, может это и одно и тоже но в руководстве работа с SDFix. Как посткпить? я по ссылке к руководству SDFix скачиваю...

Уфф, вроде сделала

Лина, сорри, не ту ссылку дал, впрочем с помощью vundofix можете тоже провериться, если скачали )
C:\Program Files\BitAccelerator - деинсталлируйте, и выполните скрипт
в остальном по логу AVZ чисто, если проблема ещё осталась, можете провериться с помощью ComboFix и Malwarebytes' Anti-Malware (MBAM)
Скачайте ComboFix здесь или здесь и сохраните на рабочий стол (не переименовывайте Combofix).
Если не установлен Recovery Console, установите по инструкции - how-to-use-combofix
1. Внимание! Обязательно закройте все браузеры, закройте и отключите все антивирусное и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится скопируйте и скопируйте текст из C:\ComboFix.txt в сообщение, еcли лог окажется очень большой, прикрепите ComboFix.txt к сообщению
**Не нажимайте кнопки мыши во время работы Combofix, это может стать причиной его зависания**
Как использовать ComboFix - how-to-use-combofix

Скачайте Malwarebytes' Anti-Malware (MBAM), установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.

Pili, спасибо за помощь. Я скачала MBAM, проверила, вот лог
Malwarebytes' Anti-Malware 1.12
Database version: 767

Scan type: Full Scan (C:\|E:\|)
Objects scanned: 85962
Time elapsed: 11 minute(s), 40 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 2
Registry Values Infected: 1
Registry Data Items Infected: 0
Folders Infected: 2
Files Infected: 3

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CLASSES_ROOT\Interface\{8cb0d898-a6a2-48c3-bbd7-862f85b18d46} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\Typelib\{431d251c-b43a-47d7-b4f4-07a101b432d6} (Adware.BHO) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\UID (Malware.Trace) -> Quarantined and deleted successfully.

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
C:\Documents and Settings\NetworkService\Application Data\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\wsnpoem (Trojan.Agent) -> Quarantined and deleted successfully.

Files Infected:
C:\Documents and Settings\NetworkService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Documents and Settings\LocalService\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\dllsys.dll (Stolen.Data) -> Quarantined and deleted successfully.

ComboFix пока не скачала, инструкции все на английском и вообще онп меня как-то пугает:)
можно без не как-то проверить, боюсь опять накосячить там что-то куда-то переносить нужно... ух...

там всё просто, скачиваете на рабочий стол, потом с http://support.microsoft.com/kb/310994 скачиваете на раб. стол Windows XP с пакетом обновления 2 (SP2), потом перетаскиваете мышкой то что скачали на иконку combofix, Windows Recovery Console установится, далее выключаете все антивирусы и файрвол и запускаете combofix, всё остальное он сам сделает.
Ну по логам AVZ должно быть чисто, если BitAccelerator удалили и скрипт выполнили. Какие проблемы наблюдается?
Если хотите (и combofix не подходит по каким то причинам), можете провериться (правило - 2 или более антивирусных монитора не устанавливать) с помощью
CureIT,
AVPTool,
AVG Anti-Virus Free Edition,
Spybot-S&D,
Ad-Aware 2007 Free,
SuperAntiSpyware
и онлайновыми антивирусами

Здравствуйте Всем! уезжала в командировку не смогла ответить сразу.
Pili, спасибо за ссылки. Особых проблем вроде нет сейчас. Но дело в том, что на компьютере в мое отсутствие лазит по нету и играет дитя 9 лет, скачивая картинки пр. белиберду для сотового, а я так подозреваю,что там и есть рассадник вирусов. Вот и приходится часто проверять, чистить и пр. Обязательно воспользуюсь ссылками. Сегодня обновила сканер Dr Web он паказал наличие 2-х вирусов, удалила. после этого COMODO запустила пишет что манитор не активен и проблему решит только переустановка, переустановила.
и если проскочили вирусы почему Авира никак не среагировала .

Нужно понимать, что антивирусы могут не успевать заносить все и вся в базы. Сегодня пропустил один, завтра наоборот он поймал то, что другой не увидел. Поэтому идеала нет и здесь тебе советовали просто лидеров. Заметь, Касперского ты сама отмела. Но и он не панацея. Тем более что и где поймал CureIt ты не показала. Может быть это остатки или рекламные модули какие.

Возможно и так, а Касперского я не отмела. Как раз сегодня хочу установить яндекс онлайн с касперским. Посмотрим как будет работать

Дитя за компьютером сидит с правами администратора? Ограничьте права до пользователя и дайте разрешение только на те папки (игры напр.) которыми пользуетесь. Рекомендуется не работать с правами администратора и пользоваться firefox с noscript или поставить в IE макс. настройки безопасности (запретить ActiveX и пр.), прочитайте электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista", в ней есть рекомендации.
Возможно антивирус задавал вопросы про удаление (если не настроено на авт. удаление/лечение), ребенок не нажал "удалить", то же самое с Comodo, В антивирусе включите защиту паролем, чтобы антивирус нельзя было выключить. Можете сделать новые логи.

Да, возможно, а потом просто побоялся мне сказать
Электронную книгу я уже скачала, а из-за частых командировок все прочитать не могу.
В AVZ 3 лог? Иногда с включенным антивирусником игры не запускаются почему это может быть?

все логи по правилам
По разным причинам, доступ к реестру, доступ к другим процессам, зависит от того какой антивирус и как настроен (для KIS это проактивная защита)

3 дня назад загрузила яндекс онлайн с антивирусной защитой Касперского. Компьютер стал подвисать, что раньше за ним не замечалось,страницы нета открывались не всегда хорошо. Сегодня удалила, поставила опять авиру, может зря? может что-то не так сделала или у Касперского есть такие грешки? Сейчас обновления авиры загружу попробую как сейчас работать будет, но пока уже быстрее

Лина, не пробовал антивирус Касперского от яндекс, обычный KAV(KIS) 6/7 много раз настраивал, жалоб не было )
А может и не зря, по результатам тестов здесь или здесь например, Avira неплохо смотрится )

Pili, с яндексом 7 касперский и идет. мне нравится как он работает и интерфейс русский и пр. но что-то подвисать стало изрядно именно после установки и еще как-будто треск или шум при загрузке жесткого диска был иногда как дискету когда бракованную вставишь и комп ее считать не может, до этого не было токого и после удаления тоже не слышала еще. Может с касперским это и не связано вовсе.

Правда после авиры когда установила каспера надо отдать должное он нашел 2 трояна, а авира хоть и обновленной базой их не снюхала, По результатам теста и правда неплохо авира смотриться