[perchinka]

Аваст больше не выдает сообщение об этом вирусе, - к сожалению, он его пропустил, и потерял в моем компе.
Нод можно скачать в сети? На большом мне установили нод, - два года никаких троянов. А тут такое на третий месяц...

P.S.Я только что нашла в этом разделе, последнем сообщении (автор Erekle) темы "Новый вирус или разновидность Trojan.Goldun?" такую же ситуацию. Посмотрите, пожалуйста, это сообщение http://forum.oszone.net/thread-78431-2.html.
Могу ли я поступить так же, как рекомендовано в ссылке, которую дает автор сообщения. Может, это облегчит мои "действия" по ловле вручную?


скачала AVZ 4. Подскажите, пожалуйста, как его настроить?

[Vadikan]

Убедитесь, что ваше интернет соединение защищено брандмауэром (хотя бы встроенным), прежде чем выходить в Интернет.

[perchinka]

Vadikan, специально убедилась: встроенный брандмауэр включен.

Снесла аваст. Установила триальную версию нод32, pos2man , спасибо за подсказку. Троян Win32/TrojanProxy.Cimuz.NAF удален. Нашла все указанные агавой файлы"dll", нод не видит в них ничего подозрительного, антиспай агнитума (установила) тоже ничего не нашел, программа avz провела лечение.
Но агава продолжает записывать и выделять красным цветом эти файлы в истории журнала.
Есть ли повод для беспокойства в этом случае? (если что не так, могу выложить скриншот процессов Диспетчера задач виндоуз)

P.S. CyberDaemon , спасибо за советы, теперь знаю, что такое "процессы" .

[Negativ]

помнится где-то прочитал: у одного мужичка был ноутбук, после того как он его включал, ноут жил своей жизнью где-то так полчасика, и работать на нем было нельзя. Так вот, он ждал эти полчаса, а потом принимался за работу. Эдакий разогрев перед стартом.

[Vadikan]

Цитата:

специально убедилась: встроенный брандмауэр включен.

Ну значит, скорее всего, трояны попадают на ваш компьютер иным путем, а именно - вы их самостоятельно загружаете

[perchinka]

Самое занятное, что Трояны (как бы я их не "загружала"), в течение двух лет (с последней переустановки WXP, и установкой на нем NOD32) никогда не попадали на мой большой компьютер, - где до сих пор был отключен брандмауэр и не был установлен фаервол.
Так-то, господа насмешники.
(а лучше бы ответили на последний мой вопрос… )

[Vadikan]

perchinka

Цитата:

Так-то, господа насмешники.

А никто и не насмехается Просто встроенный брандмауэр способен предотвратить проникновение многих распространенных троянов. Но если они попали на машину (а нередко это происходит при участии пользователя: загружены с веб-страниц, из почтовых сообщений, принесены на внешних носителях), встроенный брандмауэр уже не особо поможет пользователю в виду отстутствия интерактивного режима. Выходит что лучше пользоваться встроенным, чем ничем. Троянов по идее должен антивирус уничтожать, а брандмауэр - он просто может прониформировать о подозрительной активности и пресечь ее.

Цитата:

а лучше бы ответили на последний мой вопрос…

Какой, про AVZ? Так создайте тему типа "Настройка AVZ" и объясните, что вы хотите сделать и что вам непонятно. Почему все надо обсуждать в одной теме?

[Erekle]

Цитата:

P.S.Я только что нашла в этом разделе, последнем сообщении (автор Erekle) темы "Новый вирус или разновидность Trojan.Goldun?" такую же ситуацию.

Ну почему решили, что такая же ситуация? У вас было что-нибудь из симптомов того запроса, плюс симптомы "родственных" троянов: стремление explorer.exe к определённым IP по портам 25 и 17001, вырубание системы после инсталляции, блокировка исходящего траффика?

Цитата:

трижды Аваст сообщил, что он скрывается здесь: WINDOWS\system32\blowsemu.dll, но не смог его удалить, так "как потерял к нему доступ". Я нашла похожий файл, изменена была одна буква. Между тем, по-моему, этот Троян переименовывает системные файлы виндоуз и размножается, так как,

Из этого не надо делать глобальных выводов. Что Агава перечисляет, - они не системные файлы, только из-за того, что находятся в этой папке. И что там переименовано?

Цитата:

Для начала, все-таки было бы не плохо уточнить название вируса. как его опознал, например, Аваст.

- плюс - как Агава их величает: что они из себя представляют?

VGX, например, довольно распространенное имя продуктов Sony. WMV - просто Windows Media Video.
Главное там dll-ы. Можно, во-первых, отослать их (по одному...) на www.virustotal.com - там комплексная проверка многими антивирусами. Но до того надо просмотреть "свойства" этих файлов (правый клик - "свойства" / Properties). Там может иметься вкладка "версия", а в ней - информация о компании. Вполне может быть, эти файлы (или часть их) от ваших программ.

(Случайно, у вас нет папки WinSecurity в папке Windows?)

По процессам: Process Explorer - http://www.sysinternals.com/Utilitie...sExplorer.html - показывает и производителей. Сгруппируйте процессы, - а также Dll-ы по всем процессам - по графе "компания". Что не помечено как принадлежащее Майкрософту и известным вам компаниям (чьи программы у вас установлены), - входит в "группу риска". Дальше надо разбираться (есть многие легальные файлы, которые не имеют вкладки производителя, но определить вредное и безопасное по разным параметрам можно. К примеру, если какой-то dll или exe создан или модифицирован за последние дни, а вы ничего не инсталлировали за этот период, - то они очень подозрительны).

Цитата:

программа avz провела лечение

А именно?
Базы должны быть новыми. В опциях отметить [в "Типы файлов"] "все файлы", [в "Параметры пойска"] эвристический анализ установить на максимуме, включить "расширенный анализ" и "пойск портов UDP/TCP троянских программ". Дальше [в "Области пойска"] поставить галочку на системный диск и нажать "пуск". Лог можно выложить или прикрепить к сообщению.
И непременно провести следующее: сервис > Менеджер автозапуска. Этот лог тоже интересен.

[perchinka]

Erekle, точно, слегка померещилось, что проблемы похожи .
Не помню, название вируса, по-моему, аваст не упоминал. Закричал только что это Троян, что он его не достает, и указал путь с файлом - dll. Нод установила, тот тоже сам не удалил - вручную избавлялась от …них, как в фильме ужасов: навожу на него, нод его удаляет, а на его месте новый образуется, так раз пять, пока не догадалась перезагрузить компьютер. Но кажется, dll в названии того файла не было.
Обычно вирусы у агавы в виде зеленых или красных жучков, а эти файлы она не считает вирусами, в истории ее журнала они появились сразу же после обнаружения вируса Авастом, и висят там второй день, как не проверенные - "нет доступа". Иногда к этим семи присоединяется один- два других, не dll, иногда висят только эти семь.
Свойства всех этих файлов (в папке Sistem32 есть еще четыре таких же, но с другим окончанием) одинаковые: тип файла:Application Extension; приложение: неизвестное приложение; в графе сводка – пусто. Созданы они в разные дни марта, изменены в разные дни марта, открыты сегодня. Только один из указанных агавой файл весит 161 байт, остальные – 0. (Вес четырех родственников - по161 байт каждый)
Может, и правда, отослать эти файлы по адресу? А может, можно удалить?!?

(Случайно, у вас нет папки WinSecurity в папке Windows?) Есть папка WinSxS – она?

AVZ. Нескольких элементов в моих настройках, видимо, недоставало, в подтверждение тому сейчас, с Вашими, вылетело предупреждение: Внимание! Вы включили режим противодействия перехватчикам уровня ядра (Kerel Mode). Нейтрализация перехватчиков ядра влияет на всю систему и может нарушить работу мониторингового ПО, в частности антивирусов и Faerwall. После нейтрализации перехватчиков необходимо обязательно необходимо обязательно перезагрузить компьютер.
Сканировала три раза. (Происшествие: зашла в файл, запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось )
Прежде чем продолжить работу с avz, спрошу: в графе Методика лечения – нужно что-то включать? Я включала: Hack Tool – лечить, RiskWare – удалять, копировала в карантин (удаляла из карантина).


(офтоп: После заверения, что на большом у меня полный хелп, решила ночью проверить его AVZ-ом, и, вопреки запретам разработчика самостоятельно удалять подозреваемые программой файлы, удалила-таки для профилактики парочку на свою голову (настройки были на эвристику и анализ). Сейчас срочно понадобилось сделать откат на день назад - не получается! Создавать новую тему совестно, что делать не знаю, нужно срочно… )

[Erekle]

Так... Первое. Сравним:

Цитата:

C:\WINDOWS\system32\ comcsi7.dll fdecarew.dll pfxzmtforum.dll pfxzmtsmt.dll pfxzmtsmtspm.dll pfxzmtwbmail.dll qdviewfe.dll

http://www.trendmicro.com/vinfo/viru...PAM.AC&VSect=T

Цитата:

File type: PE Size of malware: 90,112 Bytes (uncompressed) Initial samples received on: Mar 12, 2007 Related to: TROJ_DROPPER.CEV ------------------------------------------------------ Payload 1: Intercepts network traffic Payload 2: Sends email messages ------------------------------------------------------ Details: This Trojan may arrive on a system as a .DLL file downloaded from the Internet by unsuspecting users. It may also arrive as a file dropped by other malware, specifically by TROJ_DROPPER.CEV. This Trojan arrives as RSVP32_2.DLL and is stored in the Windows system folder. It is then registered as a Layered Service Provider (LSP) every time the network is connected. An LSP is a piece of software that can be inserted into the Windows TCP or IP handler like a link in a chain. The said action makes this Trojan capable of intercepting and logging network traffic before redirecting a target user to an originally desired Web site. This Trojan attempts to connect to the URL {BLOCKED} sturma.info/zc.php to retrieve message details, which it sends via email. It saves the gathered message details using any of the following file names: forum pfxzmt sfxzmt smtspm uiqzmt wbmail Important Windows ME/XP Cleaning Instructions Users running Windows ME and XP must disable System Restore to allow full scanning of infected computers. Deleting the Malware File(s) Right-click Start then click Search... or Find..., depending on the version of Windows you are running. In the Named input box, type: RSVP32_2.DLL In the Look In drop-down list, select My Computer, then press Enter. Once located, select the file then press SHIFT+DELETE.

Надо думать, что RSVP32_2.DLL ещё остаётся на диске, потому что обращение к создаваемым им файлам запрещено.
С запретом/очисткой СистемРесторе не стоит торопиться (при ваших экспериментах с AVZ). Взамен можно поискать в этой папке (или прямо - если она видна, или пойском) DLL-файл размером 90,112 Bytes и удалить.
Только поищите этот файл - пока продолжу.