Есть подозрения
 

Вообщем выкладываю логи на растерзание так сказать. Т.к есть некоторые подозрения и жду комментариев.

12341234, Желательно также сделать дополнительные логи с помощью утилиты Deckard's System Scanner. Закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, сохраните их и заархивируйте, и стоило проверять 4.30 с последними базами ...вы проверили систему CureIt или же Kaspersky Virus Removal Tool ?

Рекомендую отключить лишнее, то что из этого не нужно...

подозрительные файлы можно проверить тут

zeroua,
Более всего есть подозрения на шпионов и троянов.

Попутно вопрос - служба SSPD - за что отвечает ?
Планировщик нужен - пробуждет ПК по расписанию.
Диспетчер отключу.
Попутно - автозапуск у меня отклченн через TweakUI со всех дисков кроме C.
Если я через реестр отменю общие административные ресурсы C,D.... Это на чем может отразиться ?

И - как грамотно запретить досткуп анонимного пользователя(при этом чтобы не мешало работе с torrent-трекерами) ?

У меня стоит KIS 6 , обновляемый каждый день.

Проверить подозрительные - вы можете указать на какието у меня или это если у меня будет подозрения ?


Deckard's System Scanner что конкретно ищет ?
Если я все это проверю то могу быть уверенным что в системе нет шпионов и троянов ?

Рекомендую деинсталлировать FlashGet и Registry Defragmentation
ARTICONS.job сами в планировщик ставили? Если нет - удалите задание.
Какие проблемы наблюдаются и почему есть подозрение?
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Запустите файл hijackthis.exe, нажмите кнопку "Do a system scan only", в открывшемся окне поставьте галочки напротив указанных строк и нажмите кнопку "Fix Checked".\
Скачайте снова AVZ и обновите базы.
Скачайте заново HijackThis и повторите логи.
В правилах ссылки на утилиты есть, в т.ч. и на Deckard's System Scanner

Всю софтину обновил,все логи вложенны в архив.
А чем плохи FlashGet и Registry Defragmentation ?
Задания делал я,могу и удалить конечно.


Так все впорядке но как то раз из майла вышибло с сообщением "запущен на другом ПК",вот и решил провериться. Можно конечно пароль сменить-тока вот если есть spyware или трояны то толку от этого не будет никакого :)

Ну и ещё по мелочи было...

(тем более осенью нашел такую троянскую штуку в компе которую каспер не видел)




Кстати - расшифруйте суть выполняемых скриптов-т.е. их конкретные действия.

новые логи (и от DSS тоже) надо было прикладывать к сообщению.
Про FlashGet можно почитать тут - статья TrojanGet, правда дыру сейчас прикрыли... Если Registry Defragmentation и задания сами делали, можете не удалять, просто о проблеме вы ничего не написали, Registry Defragmentation могло иметь отношение к проблеме, имхо, к тому же не сильно полезная программа, для прироста производительности лучше отключить не нужные службы (можно почитать тут и ещё статья Повысьте производительность компьютера
скорее всего Mail.Ru агент глючил, кстати его тоже рекомендую деинсталлировать, по статистике больше зараженных систем встречается, когда установлен Mail.Ru агент.
Удалите полностью в реестре HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2 или сохраните текст ниже как reg файл и примените
Выполните скрипт в AVZ
для защиты от autorun cкопируйте приведенный ниже текст в блокнот и сохраните файл как noautorun.reg, примените.
Дополнительно можете скачать и запустить утилиту (не забудьте подключить флешки и др. съемные носители) Flash Drive Disinfector - утилита создает каталоги с именем autorun.inf на дисках - не удаляейте эти каталоги, они защитят носители (в .т.ч флешки) от зловредов типа autorun.inf
это нужно? Если нет, выполните скрипт
в остальном логи (и файлы в карантине) чистые
скрипт из поста 4 собирал файлы на карантин, из этого поста - удаляет OMSCAN и C:\W
Рекомендую почитать AVZ - справка по работе с программой, а также электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista"

После выполнения
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\W','');
StopService('OMSCAN');
SetServiceStart('OMSCAN', 4);
DeleteService('OMSCAN');
DeleteFile('C:\W');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
У меня улетела заставка приветствия и вернулась стандартная это нормально ?
(был установленн XP LogoCanger,и приветствие My Mermaid logon)/остальное пока даже не стал трогать

PS-вот для этого я и спрашивал подробное обьяснение....

12341234, а стандартная не устраивает? Удаляли C:\W в автозагрузке и драйвер OMSCAN (со странным именем файла \Sys,
и по логу DSS название файла тоже странное), это не должно было повлиять на заставку. В списке Add/Remove Programs я не увидел ни XP LogoCanger ни My Mermaid logon, если вас это сильно беспокоит можете переустановить эти программы

Понимаю что странно - и мне интересно.Программа без установщика - исполняемый файл а папке с несколькими директорями для сортировки контента,в эту папку положенна заставка(ехе). Послие чего запускаеться прога и меняеться экран входа в систему-переустановить то я переустановлю,но вдруг это не совсем чистая софтина. А каком логе - может мне после того как переустановил по новой именно этот лог сделать ? Кстати могу дать софтину на исследование - весит 3мб.



C:\W снес(скрипт тот выполнил)-но это было ещё пару лет назад при установке винды после того как встали основные драйвера(думаю временная папка какянить может была)-в любом случае по этому пути никакого файла небыло.

По административным ресурсам и анонимному доступу - подводных камней быть не должно при выполнении скрипта ?

Эта программа прописывает OMSCAN и файл \Sys в C:\WINDOWS\system32\drivers\ очень не типичное поведение для программы-заставки, программу сами можете проверить на virustotal.com и отослать в ЛК на newvirus@kaspersky.com
не совсем понял, если эту программу установили, можете сделать лог HijackThis и в AVZ стандартный скрипт 2 выполнить (лог virusinfo_syscheck.zip)
из сети не смогут подключаться анонимные пользователи и на ресурсы C$, D$ - администраторы

ХМ-снова появился-правда состояние написанно "не запущен"

Зашел на вирустотал - результат самой проги:


Файл XP_Logo_Changer.exe получен 2008.04.14 19:34:52 (CET)
Результат: 2/31 (6.46%)
CAT-QuickHeal 9.50 2008.04.14 (Suspicious) - DNAScan
Panda 9.0.0.4 2008.04.14 Suspicious file
.

Что за вирус и насколько опасен ?

сама заставка (ехе)
Файл уже проанализирован:
MD5: 88bbd159aaf2e9768db8868f445ebd3f
Дата: 2008.04.14 06:01:56 (CET) [<1D]
Результаты: 0/32

12341234, отправьте на анализ в ЛК, они дадут окончательный вердикт

ок,как проанализируют отпишус

От них пришел ответ - мол ничего вредоносного в файле нету. Вот теперь сижу и думаю.

12341234, На ваше усмотрение, если большой надобности в этих программах нет, рекомендую оставить стандартные. Какие либо проблемы ещё наблюдаются?

Да так нет,большей частью были тока подозрения,тогда отключаю административный доступ и если не возникнет траблов то завтра закрою тему.



я вроде как аккуратный пользователь. за полтора года жизни вообще без антивируса был всего один вирус и тот по моей глупости-неподумавши воткнул флэшку с заразного ПК а когда воткнул через минуту вспомнил.... но было поздно - так решил отключить автозапуск :)

Вроде все нормально после выполнения скрипта закрытия ресурсов. Тему можно закрывать.
Всем спасибо.