Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

RFpro.ru: Антивирусные программы и защита от вирусов


РАССЫЛКИ ПОРТАЛА RFPRO.RU

Лучшие эксперты в разделе

CradleA
Статус: Мастер-Эксперт
Рейтинг: 279
∙ повысить рейтинг »
Alexander Babich
Статус: Профессор
Рейтинг: 3
∙ повысить рейтинг »
Igor Yu. Pilyugin
Статус: Мастер-Эксперт
Рейтинг: 0
∙ повысить рейтинг »

Антивирусная защита

Номер выпуска:364
Дата выхода:12.06.2021, 18:45
Администратор рассылки:Сергей Фрост (Управляющий)
Подписчиков / экспертов:5 / 27
Вопросов / ответов:3 / 8

Консультация # 142897: Здравствуйте! Подхватил вирус! Скачал антивирус Зайцева, просканировал им. Вот результат [code]Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз) Протокол антивирусной утилиты AVZ версии 4.30 Сканирование запущено в 02.09.2008 12:33:45 Загружена ...
Консультация # 71554: На днях просканировал свой ПК Dr.Weber`oм. В папке System Volume Information он обнаружил Adware, после удаления и повторного сканирования он опять там же обнаружил очередной Adware. В интернете прочитал, что в эту папку система копирует или создает точки восстановления или что-то подобное. Как найти источник или зараженный файл откуда система копи...
Консультация # 156720: У меня проблема.не могу открыть локал C и D.Показывает такую ошибку --Exception Processing Message c0000013 Parametrs 75b6f7c 4 75b6f7c 75b6f7c...

Консультация # 142897:

Здравствуйте! Подхватил вирус! Скачал антивирус Зайцева,
просканировал им. Вот результат
[code]Внимание !!! База поcледний раз обновлялась 06.04.2008 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Протокол антивирусной утилиты AVZ версии 4.30
Сканирование запущено в 02.09.2008 12:33:45
Загружена база: сигнатуры - 157571, нейропрофили - 2, микропрограммы лечения - 55, база от 06.04.2008 17:09
Загружены микропрограммы эвристики: 370
Загружены микропрограммы ИПУ: 9
Загружены цифровые подписи системных файлов: 70476
Режим эвристического анализатора: Максимальный уровень эвристики
Режим лечения: включено
Версия Windows: 5.1.2600, Service Pack 2 ; AVZ работает с правами администратора
Восстановление системы: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анали з ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .text
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
1.2 Поиск перехватчиков API, работающих в KernelMode
Драйвер успешно загружен
SDT найдена (RVA=07B180)
Ядро ntkrnlpa.exe обнаружено в памяти по адресу 804D7000
SDT = 80552180
KiST = 80501030 (284)
Проверено функций: 284, перехвачено: 0, восстановлено: 0
1.3 Проверка IDT и SYSENTER
Анализ для процессора 1
Проверка IDT и SYSENTER завершена
1.4 Поиск маскировки процессов и драйверов
Поиск маскировки процессов и драйверов завершен
Драйв ер успешно загружен
1.5 Проверка обработчиков IRP
Проверка завершена
2. Проверка памяти
Количество найденных процессов: 19
Количество загруженных модулей: 246
Проверка памяти завершена
3. Сканирование дисков
F:\soft\Справочник Windows XP.zip/{ZIP}/Справочник Windows XP.chm/{CHM}//WinRet.exe >>> Опасно - исполняемый файл в CHM файле - возможно, маскировка исполняемого файла
F:\lrdo.cmd - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (присуще вирусам)(степень опасности 40%)
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 317 описаний портов
На данном ПК открыто 4 TCP портов и 14 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
>>> F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)
>>> F:\lrdo.cmd ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\Open]
>>> F:\lrdo.cmd ЭПС: подозрение на скрытый автозапуск F:\autorun.inf [Autorun\shell\open\command]
Проверка завершена
8. Поиск потенциальных уязвимостей
>> Службы: разрешена потенциально опасная служба RemoteRegistry (Удаленный реестр)
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы : обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
>> Безопасность: Разрешена отправка приглашений удаленному помошнику
Проверка завершена
9. Мастер поиска и устранения проблем
Проверка завершена
Просканировано файлов: 5183, извлечено из архивов: 3214, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 02.09.2008 12:34:31
Сканирование длилось 00:00:46
Если у Вас есть подозрение на наличие вирусов или вопросы по заподозренным объектам,
то Вы можете обратиться в конференцию - http://virusinfo.info

Поскажите что это за вирус такой что делает, очень нехороший? F:\lrdo.cmd - PE файл с нестандартным расширением;PE файл с измененным расширением, допускающим запуск (прису ще вирусам)(степень опасности 40%)

Дата отправки: 02.09.2008, 12:48
Вопрос задал: YAV (Специалист)
Всего ответов: 2
Страница онлайн-консультации »


Консультирует Muxa:

Здравствуйте, rewer8!
Имя файла >>> PE файл с нестандартным расширением" - это означает, что обнаружен программный файл, но вместо типичного расширения EXE, DLL, SYS он имеет другое, нестандартное расширение. Это не опасно, но многие вирусы маскируют свои PE файлы, давая им расширения PIF, COM. Данное сообщение выводится в любом уровне эвристики для PE файлов с расширением PIF, COM , для остальных - только при максимальном уровне эвристики

на virusinfo.info рекомендовали прислать файлы карантина

Консультировал: Muxa
Дата отправки: 02.09.2008, 13:27
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Janpit:

Здравствуйте, rewer8!

F:\autorun.inf ЭПС: подозрение на скрытый автозапуск (высокая степень вероятности)


Еще-бы он так не писал, когда сам файл autorun.inf как раз и предназначен для автозапуска какого-либо приложения!
Откройте его в "Блокноте" или в файловом менеджере через F3 и прочтете предписанное ему, а заодно и запускаемый файл. (впрочем AVZ уже указал "виновника" - lrdo.cmd )
Подробнее о РЕ-файла, их опасности и почему можно прочесть здесь >>. Вам не нужно во все вникать, там самое главное (для Вас), что позволяет маскировать (типичный ход вирусов), чем опасно и к ак определяется. Вот Вас и предупреждают: "внимание - опасность".
В силу того, что эта "сладкая парочка" (подразумевается тандем: autorun+PE-файл ) работает если и вместе, то чаще всего на вирус, то неудивительно, что сканер определяет его как опасный. Кстати, при включенном эвристическом анализе антивирусы лаборатории Касперского (особенно версий 6-7) сам autorun тоже считают потенциально опасным.
Непонятно только: диск F у Вас - жесткий или лазерный? На жестком диске таких файлов быть просто не должно. Если есть - это сигнал опасности (они чаще всего - скрытые). Это пишу на будущее, т.к. Вы только что проверили систему (хотя - с устаревшими базами, как справедливо заметил коллега). Ну а на лазерном они сплошь и рядом.
Соображения безопасности рекомендуют отключать автозапуск на всех носителях. Но это - дело каждого.
Вашего файла lrdo.cmd даже Google не знает (и virusinfo - в том числе. Вот и заинтересовалис ь). Сайт хорошо индексируется, но даже тщательный поиск по всему пространству (разрешенному) не дал каких-либо упоминаний. Впрочем, имя может быть любым, а вот "начинка"....
Последуйте совету предыдущего эксперта и пошлите его на исследование, раз так интересно (если Вы пытались его скопировать-упаковать при включенной защите AVZ, то это неудивительно).

Консультировал: Janpit
Дата отправки: 02.09.2008, 15:39
Рейтинг ответа:

НЕ одобряю 0 одобряю!

Консультация # 71554:

На днях просканировал свой ПК Dr.Weber`oм. В папке System Volume Information он обнаружил Adware, после удаления и повторного сканирования он опять там же обнаружил очередной Adware. В интернете прочитал, что в эту папку система копирует или создает точки восстановления или что-то подобное. Как найти источник или зараженный файл откуда система копирует эти Adwar`ы? А Dr.Weber упорно находит вирус только в папке System..., значит вирус сидит наверняка еще где-то?

Дата отправки: 18.01.2007, 17:23
Вопрос задал: Xokmun
Всего ответов: 3
Страница онлайн-консультации »


Консультирует Соколов Дмитрий:

Здравствуйте, Xokmun!
Это папка - "Восстановление системных файлов
Windows защищает папки восстановления системы от всех внешних пpогpамм. Когда виpусы попадают на компьютеp, Windows может также сохpанить их в папке восстановления системы. Антивиpусы и утилиты не могут удалить виpусы из этих папок. Для лечения необходимо вpеменно отключить опцию восстановления системы. После лечения необходимо включить ее обpатно.

Консультировал: Соколов Дмитрий
Дата отправки: 18.01.2007, 17:30
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует ~Steep~:

Здравствуйте, Xokmun!

Для нахождения и удаления Adware рекомендую использовать Ad-Aware или SpyRemover (а лучше вместе), а не антивирусы. Т.к. они находят и удаляют их намного лучше

Консультировал: ~Steep~
Дата отправки: 19.01.2007, 10:14
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Штопор:

Здравствуйте, Xokmun!
Есть много программ, которые лечат от этой напасти, взять, хотя б для примера XoftSpySE, или Ad-Aware они очищают даже и System Volume Information (насколько мне известно). Можно еще зайти на сайт любого антивира и может у них что-то есть, какая-то спец программа. Или средство удаления вредоносных программ то Мелкософт за январь 2007г. (смотри на офсайте). Удачи!!!

Консультировал: Штопор
Дата отправки: 22.01.2007, 10:26
Рейтинг ответа:

НЕ одобряю 0 одобряю!

Консультация # 156720:

У меня проблема.не могу открыть локал C и D.Показывает такую ошибку --Exception Processing Message c0000013 Parametrs 75b6f7c 4 75b6f7c 75b6f7c

Дата отправки: 05.01.2009, 15:42
Вопрос задал: Mahir huseyn
Всего ответов: 3
Страница онлайн-консультации »


Консультирует Задоров Д.Г.:

Здравствуйте, Mahir huseyn!
Первое дейстиве - загрузка с компакта с установленным антивирусом и проверка всей системы. Можно отнести винчестер на заведомо рабочую машину и проверить там.
Второе проверка файловой системы. (возможно и не понадобиться).

p.s. Если пользовался AVZ - тут есть инфа
http://virusinfo.info/archive/index.php/t-9753.html

Консультировал: Задоров Д.Г.
Дата отправки: 05.01.2009, 16:17
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Вадим Петрович (Профессионал):

Здравствуйте, Mahir huseyn! У Вас ошибки выдают вирусы. Попробуйте, переустановите антивирус и необходимо скачать обновление.
Вам так же необходимо просканировать ОС сканерами: Dr.Web CureIt!: ftp://ftp.drweb.com/pub/drweb/cureit/launch.exe (в безопасном режиме – клавиша F8 после перезагрузки системы, сначала "Быстрая проверка" – потом "Полная проверка"; вирусы, не поддающиеся лечению – удаляете) и антивирусная утилита AVZ: http://z-oleg.com/avz4.zip. Удачи!!!

Консультировал: Вадим Петрович (Профессионал)
Дата отправки: 05.01.2009, 16:54
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Консультирует Александр aka endoftime:

Здравствуйте, Mahir huseyn!
1. не совсем уверен что у Вас имеет место быть вредоносный код (троянские кони, вирусы, черви и т.п.). Но
2. Всетаки необходимо на всякий случай проверить машинку. для этого скачиваем с сайта DrWeb загрузочный диск ftp://ftp.drweb.com/pub/drweb/livecd/minDrWebLiveCD-4.44.1.0811190.iso записываете его на "болванку", грузитесь с него и проверяете компьютер (это самый правильный вариант проверки, загрузка в безопасном режиме только распространит вирус если он у Вас есть, а подключение диска к другой машине может привести к тому что Вы заразите чужой компьютер).
3. Если вирусов не найдено, то загружаетесь в безопасном режиме и делаете откат до точки восстановления ( если у вас включено создание точек восстановления) до того момента когда по вашему мнению проблемы не было...

Консультировал: Александр aka endoftime
Дата отправки: 05.01.2009, 20:24
Рейтинг ответа:

НЕ одобряю 0 одобряю!


Оценить выпуск | Задать вопрос экспертам

главная страница  |  стать участником  |  получить консультацию
техническая поддержка

Дорогой читатель!
Команда портала RFPRO.RU благодарит Вас за то, что Вы пользуетесь нашими услугами. Вы только что прочли очередной выпуск рассылки. Мы старались. Пожалуйста, оцените его. Если совет помог Вам, если Вам понравился ответ, Вы можете поблагодарить автора - для этого в каждом ответе есть специальные ссылки. Вы можете оставить отзыв о работе портале. Нам очень важно знать Ваше мнение. Вы можете поближе познакомиться с жизнью портала, посетив наш форум, почитав журнал, который издают наши эксперты. Если у Вас есть желание помочь людям, поделиться своими знаниями, Вы можете зарегистрироваться экспертом. Заходите - у нас интересно!
МЫ РАБОТАЕМ ДЛЯ ВАС!


В избранное