[Erekle]

Второе.

Цитата:

Есть папка WinSxS – она?

Нет. Про WinSecurity спрашивал, потому что у кого-то, у кого эта папка создавалась трояном, имелись несколько темп-файлов (не dll-Ы) из вашего ассортимента.

AVZ. Я точно прописал графы, которые надо было трогать. Экспериментировать с программой не надо. Конкретно: включать режим противодействия перехватчикам уровня ядра просто так опасно для системы. Надо строго следовать инструкции автора. К тому же, для этого сначала надо установить соответственный драйвер. Пото надо делать только то, что ждать, когда перехватчик появится на сцене и примется за работу. К тому же, вовсе не известно, ваш троян просто троян или троян с таким перехватом.

Цитата:

Происшествие: зашла в файл, запустила автокарантин, когда процесс завершился, вылетело сообщение о чем не помню, но альтернативы не было, - кнопка была одна: "Да". После "Да" – комп сделал глубокий вздох, и … "восстановился после серьезной ошибки"… Не были отключены ни фаервол, ни нод, вероятно, это и было причиной некорректного поведения программы. Надеюсь, ничего страшного не случилось

Я тоже надеюсь.
"В" какой файл "зашли"? Карантин - в смысле, включили опцию в графе "лечение"? Но я сказал: сначала лог.
AVZ должен детектировать всякий перехват системных функций, включая, конечно, совершаемые антивирусом и т. д. Но потом пользователь должен сначала разобраться, что из перехватов вредно, и что - нет. Представьте, что вы попытаетесь отнять у антивируса жизненно важный файл, который перехватил аж функции ядра системы. Хорошо, что у большинства антивирусов имеется защита себя любимого.
В графе Методика лечения включали только Hack Tool и RiskWare?

Цитата:

решила ночью проверить его AVZ-ом, и, вопреки запретам разработчика самостоятельно удалять подозреваемые программой файлы, удалила-таки для профилактики парочку на свою голову (настройки были на эвристику и анализ). Сейчас срочно понадобилось сделать откат на день назад - не получается! Создавать новую тему совестно, что делать не знаю, нужно срочно…

Что значит "для профилактики"?! :Ohmy:
Если удалили просто в корзину, то откройте её и восстановите те файлы. Не забудьте приметить, что они за файлы и где восстанавливаются.

[Erekle]

Если удаляли через AVZ - не включали ли опцию в "копировать удаляемые файлы в infected" в Методике лечения? Если да - они будут в соответственной папке в каталоге программы.

И вообще: перед каким-либо действием нужно сохранить всякий лог - может понадобиться. Если какая-то программа не имеет такого лога, или если удалили что-то сами - надо сохранить в текстовом виде все возможные параметры, которые могут помочь при случае.

AVZ в принципе НЕ может удалить какой-либо системный или важный файл, потому что у него есть и база безопасных файлов, в который входят и файлы от известных антивирусных компаний. Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы)?

[perchinka]

Корзину сразу очистила .
К сожалению, все мною описанные действия в avz, я провела ночью (на обеих компах), тогда же и произошли эти недоразумения. Сегодня вот только появились Ваши инструкции. Не знаю как быть (сканировала avz раза по три. Перехватчики были. Есть копия лога с большого компа

Сейчас еще раз пройдусь по Вашим текстам, отвечу на остальное.

("В" какой файл "зашли"? Карантин - в смысле, включили опцию в графе "лечение"? ) Нет. Левый верхний угол -файл. Выбрала: автокарантин, зашла туда, и т.д.

(В графе Методика лечения включали только Hack Tool и RiskWare?)
Hack Tool - лечить, остальное - удалять

(Если удаляли через AVZ - не включали ли опцию в "копировать удаляемые файлы в infected" в Методике лечения? Если да - они будут в соответственной папке в каталоге программы.)
Включала. Потом зашла в карантин и все файлы удалила. Но на большом)


(Ещё раз о логе. Из какой папки удалили ту парочку? С System Restore (Восстановление Системы) ?) Один - из папки sistem32. Беленый квадрат с синей полоской сверху. Второй был в папке puncto (его подозревают в 99,5% как троянск. прогр. Но это переключатель клавиатуры - пока оставила) Другие файлы удаляла из avz.

[Erekle]

Перед удалением файлов, в опасности которых не уверены до конца, желательно сохранять их в архиве под (простым - чтобы не забить) паролем. Он оттуда не выскочат.

На www.virustotal.com отсылать пустой файл нет никакого смысла, да и размером 161 байт - тоже. К тому же, как написано в цитате выше, троян хранит в этих файлах просто детали мессаджей.

Цитата:

Нет. Левый верхний угол -файл. Выбрала: автокарантин, зашла туда, и т.д.

А, Автокарантин. Но эта функция только копирует подозрительные файлы и не изымает ничего со своих мест.

[perchinka]

Теперь буду знать.

[perchinka]

А можно я после "всего-всего" сделаю теперь проверку по Вашей схеме на обоих компьютерах, отключив стенку и антивирус?

[Erekle]

Цитата:

Включала. Потом зашла в карантин и все файлы удалила. Но на большом) (чую неладное...)

Так какой был смысл во включении? Карантин - под замком.

Цитата:

Сейчас срочно понадобилось сделать откат на день назад - не получается!

Всё правильно сделано? Почему не получилось и что приводится причиной?
Это на большом, да? И лог подоспел.

Эти два файла и удаляли? Больше ничего? Если больше или другие - дайт полный лог.
Второй - нужно было. Расстроить функционирование Восстановления Системы он не может.
Первый - драйвер защиты электронным ключем HASP. Тоже удаляли? Но он лежит не в System Restore.

Цитата:

по Вашей схеме на обоих компьютерах, отключив стенку и антивирус?

Не моя и не схема. И не надо ничего отключать. После этого они наверное и не запустяся.
Просто нужны меры предосторожности. Антивирус и стенку не отключать. В AVZ: лечение не включать или включать с обязательным копированием. Потом Карантин и папку Infected - не очищать. Драйвер расширенного режима (AVZPM), AVZGuard, Ревизор, Автокарантин и т. д. - НЕ запускать. Опцию Блокировать работу RootKit (две графы) - галочку НЕ проставлять (только детектирование, что и включено по умолчанию).
Только анализ. Плюс в опциях: сканировать все файлы, эвристика - по максимуму и с Расширенным анализом. Дальше - только разбирать логи сначала. Ничего сразу не удалять руками, а если удалять - сохранить копии и параметры (как то - где лежали).
Тем более - если на обычном компе нет проблем с вирусами.
Ещё раз. В меню AVZ: Сервис - есть Менеджер автозапуска. Его лог интересен (сохраняется как HTML, с которого потом можно скопировать текст).

[perchinka]

Делала откат системы на большом, как обычно, два раза. Попробую разок еще.


(Эти два файла и удаляли? Больше ничего? Если больше или другие - дайт полный лог.)
Из папок точно ничего больше, так как параллельно читала справку разработчика

(Второй - нужно было. Расстроить функционирование Восстановления Системы он не может.)
Тогда удалю!

(Первый - драйвер защиты электронным ключем HASP. Тоже удаляли? Но он лежит не в System Restore. )
Сейчас попробую найти эту папку и вернуть свою память назад - была я там или нет... Вроде нет

Давайте, если можно, я Вам лог не на общее обозрение вышлю, мало ли. Я теперь что-то всего боюсь



Я поняла, Вы по логу вопросы задавали - нет, оттуда я ничего не удаляла, но у меня там красным цветом очень много выделено. Я дала лишь выборочно.



Вернулась выше, прочитала дополнение к ответу. Хорошо. Возьмусь за дело. (значит, ситуация на моих компах критическая?)

[Erekle]

Подредактировал предыдущее сообщение.

Цитата:

Тогда удалю!

Но сказали же, что уже удалено, а корзина и карантин AVZ очищены!
(Если нет - обязательно сохраните копию и все параметры из "свойств" файла.)

Цитата:

Из папок точно ничего

- то есть, удаляли через AVZ? Но что именно?
Насчёт лога - как хотите, хотя там нет никакой секретной информации. Из него можно узнать только имена файлов, которых программа подозревает (или не подозревает) и ничего более. Вот узнал пойском по Google, что у вас какая-то программа защищена системой электронного ключа. Ну и что?

У меня уже небольшая путаница. Это большой комп. Проблема с ним - только Восстановление Системы. Если проблемы с драйвером ключа причина этому, и если в логе этот драйвер присутствовал не в System Restore, и если вы удалили этот драйвер (?) - проблем с обычными вкючением компа и работой - нет?

Цитата:

Вернулась выше, прочитала дополнение к ответу. Хорошо. Возьмусь за дело. (значит, ситуация на моих компах критическая?)

Да никакая она не критическая, и, похоже, проблемы своим компам в первую очередь создаёте вы.
Не надо "взяться за дело"! Просто вы спросили про намерение поотключать антивирусы, и я сказал, что можно делать и что опасно. Ничего более.

Насчёт dll-ов в System32. Если они не изменяются, это означает, что трояна больше нет, а сами они (тем более пустые) никакой опасности не содержат. В таком случае надо думать, что антивирус удалил именно этого трояна - даже имя которого вы не запомнили - а эти файлы просто осталичь, как безвредные. Но для еверенности поищите указанный rsvp32_2.dll

[perchinka]

"Тогда удалю!" - я тоже редактировала сообщение, выше смотрите, я думала Вы говорите не про лог, а про папку puncto (см. выше)

"Из папок точно ничего" - простите, тороплюсь, когда редактировала эту фразу, Вы ее уже успели цитатой вставить - я потом добавила слово, получилось, больше ничего (кроме того, о чем уже написала)

Прыгаю между двумя компами. Откат не удался.

Хорошо. Запускаю avz.