компьютерный форум
Вернуться   Компьютерный форум > Компьютерный форум > Операционные системы и ПО > Защита от вирусов

Закрытая тема
 
LinkBack Опции темы Опции просмотра
Старый 02.12.2009, 19:40   #1
Пользователи
 
Регистрация: 02.12.2009
Сообщений: 19
По умолчанию

Здравствуйте дорогие старожилы компьютерного дела...С названия темы Вы наверное догадались,что потребуется Ваша помощ!!! Значит так...Что я только не делал,какой антивирус бы не поставил результат один и тот же.Ловится вирус и ничего кроме сноса ОСи не помогает.Переустановив ОС запускаю такие PostSP3_Ru_XP_15_07_2009.exe обновления и такие WindowsXP-KB958644-x86-RUS.exe WindowsXP-KB958687-x86-RUS.exe заплатки с флэшки(Её проверяю Круитом в безопасном).Ставлю Аваст 4.8,ЮСБ Секьюрити и АутПост...Вот такого набора мне хватает дней на 3-5...Берутся откуда то вирусы и все...Нэт работает и тупо пропадает,причем значок подключения еще некоторое время работает, подключен через ДСЛ модем.Подключаюсь еще раз...Дает времени на нэт по разному...От 1-й до 20-ти минут и выбивает.Так можно проделать несколько раз пока вирус не психонет и не начнет блокаду...Удаленный компьютер не отвечает бла-бла-бла ПОДРОБНО типа их комп не может обработать запрос и т.д. Но тут я тоже умудрился на энное количество времени продлить ему жизнь...Тупо звоню со стационарного сам себе...Не знаю почему но от такого действия его малень от дупляет но тож не надолго...Провайдер надёжный так,что дело не в нем. И тут понеслась.В безопасном делаю полную проверку заранее скачанным Круитом...Ничего не находит...Тупо все ок...Проверяю Авастом...Тоже самое...Проверяю АутПостом 0 и напоследок АВЗ...Тут правда кое-что есть...Сначала материться на:
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Функция kernel32.dll:OpenProcess (632) перехвачена, метод APICodeHijack.JmpTo[20C2848B]
>>> Код руткита в функции OpenProcess нейтрализован
ну и еще куча подобных нейтрализирующих процессов...
Потом материться на:
1.5 Проверка обработчиков IRP
FileSystem
tfs[IRP_MJ_CREATE] = F89282E0 -> C:Program FilesCheckPointAForceFieldISWKL.sys
FileSystem
tfs[IRP_MJ_CLOSE] = 823711F8 -> перехватчик не определен
FileSystem
tfs[IRP_MJ_WRITE] = 823711F8 -> перехватчик не определен
FileSystem
tfs[IRP_MJ_QUERY_INFORMATION] = 823711F8 -> перехватчик не определен
и еще куча всякого...
В конце мат на:
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:Program FilesCheckPointAForceFieldPluginsISWSHEX.dll --> Подозрение на Keylogger или троянскую DLL
C:Program FilesCheckPointAForceFieldPluginsISWSHEX.dll>>> Поведенческий анализ
Типичное для кейлоггеров поведение не зарегистрировано
C:Program FilesCheckPointAForceFieldAKicsak.dll --> Подозрение на Keylogger или троянскую DLL
C:Program FilesCheckPointAForceFieldAKicsak.dll>>> Поведенческий анализ
1. Реагирует на события: клавиатура
C:Program FilesCheckPointAForceFieldAKicsak.dll>>> Нейросеть: файл с вероятностью 0.00% похож на типовой перехватчик событий клавиатуры/мыши
На заметку: Заподозренные файлы НЕ следует удалять, их следует прислать для анализа (подробности в FAQ), т.к. существует множество полезных DLL-перехватчиков
Результат:
Проверка завершена
Просканировано файлов: 153967, извлечено из архивов: 108015, найдено вредоносных программ 0, подозрений - 0
Сканирование завершено в 02.12.2009 19:12:24
Сканирование длилось 01:47:53
Пока,что все норм...Но есть подозрение,что завтра понесёться всё по новой...
В автозапуске такое:
IMJPMIG8.1
PHIME2002ASync
PHIME2002A
SoundMan
OutpostMonitor
OutpostFeedBack
ISW
USB Antivirus
avast!
CTFMON.EXE
Вообщем ПОЖАЛУЙСТА помогите решить проблему...
P.S. Тазик старый Атлончик 1.7 но рабочий(и без умников знаю,что он должен давно отдыхать в музее),ХРпак3...По порно не лажу.




V@n4opeR вне форума  
Digg this Post!Bookmark Post in Technorati
02.12.2009, 19:40
Техник
реклама
По умолчанию

Старый 03.12.2009, 05:37   #2
Пользователи
 
Регистрация: 05.09.2006
Сообщений: 1,080
По умолчанию

1. Во-первых - что у тебя делают на машине файлы ZoneAlarm Force Field, а именно iswkl.sys, iswhex.dll, icsak.dll?
2. Во-вторых - ISW в автозапуске, скорей всего это AT&T Internet Security Suite...опять, что он там делает?
3. Установка на одном компьютере нескольких антивирусов весьма вероятно приводит к взаимным конфликтам, так как они могут воспринимать антивирусные базы сигнатур друг друга как вирусы, и борьба "скорпионов в банке" совершенно логично приводит к сбоям, зависанию, "экранам смерти" компьютера. Хотя Аваст и Оутпост в таком не замечены (из моего опыта), но хз...
4. Скачай и установи Spybot Search&Destroy.
5. Нашуя у тебя включена поддержка китайского и восточных языков? IMJPMIG8.1 - это часть MS Input Method Editor, служащий для облегчения ввода иероглифических шрифтов.
6. У меня создается впечатление, что установленная ХР - не официалльный образ, а леворукая сборка из разряда всяких Fuck Bill Edition-ов. Я с собственного оптыа после попытки установить три (!) разные сборки, тянувшееся до 3 часов ночи, больше таким не страдаю Изменения в интерфейсе можно произвести и вручную после установки. Поставь винду из официального образа MS.
Byoki-no Tora вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 06:39   #3
Пользователи
 
Регистрация: 21.02.2006
Сообщений: 298
По умолчанию

Больше смахивает на аппаратную проблему.
Передерни оборудование, посмотри изменится картина или нет.
k0st вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 09:59   #4
V.I.P. Пользователи
 
Аватар для L@nken
 
Регистрация: 01.09.2006
Сообщений: 3,315
По умолчанию

1) Как уже было замечено вполне возможно, что у Вас "левая" сборка ОС, из-за чего ставится много лишнего софта и возникают проблемы.
2) У Вас есть локальная сеть? Если да, то посмотрите, может неправильно настроены политики безопасности и фаерволл и вся эта нечисть лезет с сетки.
3) Возможно у Вас вредоносное ПО засело на других логических дисках и после переустановки ОС снова начинает действовать. В этом случае стоит попробовать снести винду, проверить винт на наличие вредоносного ПО с помощью другого компа или же с помощью загрузочного диска с новыми базами данных.
4) Как вариант попробуйте ещё проверить касперским и нодом.
5) Проверте на вирусы съемные диски, флэшки и т.д.
L@nken вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 10:21   #5
Пользователи
 
Регистрация: 02.12.2009
Сообщений: 19
По умолчанию

Как сказал Доктор Хаус:"лучше задавать вопросы нежели на них отвечать.Это делает тебя умнее,не таким идиотом кажешься!!!".
Уважаемый mr.Byoki-no Tora,я не знаю что делают файлы ZoneAlarm Force Field, а именно iswkl.sys, iswhex.dll, icsak.dll...Искал в нэте о icsak.dll ничего толкового не нашел.Что прикажете с ними делать???А также что делать ISW??? Тут с Вами согласен Аваст и Аутпост конфликтов не имеют поэтому не знаю,что Вас так напрягло...Зон Алярм наверное все таки удалю...Все равно от него толку маловато...Spybot Search&Destroy зачем это???Разве АВЗ не делает то же самое???Да Вы правы это Фак Ю Билл...Нормальная винда...Не знаю чем она вам не понравилась...Под итожим...Вы задали кучу вопросов,а на мой вопрос ответ не дали.Ну разве,что б установил прогу.И чем мне мешает жить ота фигня с китайскими иероглифами???
Уважаемый mr.k0st,но после переустановки ОСи приколов может не возникат пару суток и тазик может работать не віключаясь!!!Без перебоев и всего остального...
V@n4opeR вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 10:32   #6
Пользователи
 
Регистрация: 02.12.2009
Сообщений: 19
По умолчанию

Уважаемый mr.L@nken софт я ставлю отдельно,а с ОСи льется только пару прожек типа СиСиКлинера,контроля автозапуска...Мелочь карочь!!!За сеть не знаю...нэт идет через модем,один кабель в модэм и в сетевую карту,другие в телефон и модэм...Поэтому не знаю есть ли сеть...Но ее включать нужно по любэ,а то нэта не будет...Но нет такой внутренней сети,где можно качать фильмы и т.д.Перед тем как установить ОСь я удаляю все разделы и число повторений 2-ва раза...Акронис слизывает всё с винта...Касперским проверял,ничего он не находил...На каком то из форумов был нашел такое:"Нод нашел на компе вирус.Что делать???Ну и один из интелектуалов отписался...Нод нашел вирус???Это уже можно новую тему создавать..."!!!Я Нод не люблю...Он стоял у меня...Тоже были проблемы.Флэшку проверяю Круитом и АВЗ...Ничего.+ Стоит ЮСБ Диск СекЬюрити...Тож по нулям!!!
V@n4opeR вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 11:00   #7
V.I.P. Пользователи
 
Аватар для L@nken
 
Регистрация: 01.09.2006
Сообщений: 3,315
По умолчанию

Цитата:
Spybot Search&Destroy зачем это???Разве АВЗ не делает то же самое???
У них немного различные методы эвристики.

Судя с Вашего описания, можно сделать вывод что вредоносное ПО попадает к Вам на комп или же с установкой программ (крэки например) или же скорей всего через интернет, отсюда можно сделать вывод, что у Вас плохо настроен фаерволл, так что советую проверить правила. Я так понимаю проблемы не начинают пока компьютер не выйдет в интернет?

Можете вывести список активных подключений к интернету? Это можно сделать с помощью фаервола или же воспользоваться маленькой программой TcpView. Также бросьте результаты анализа программы hijackthis.
L@nken вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 11:08   #8
Пользователи
 
Регистрация: 05.09.2006
Сообщений: 1,080
По умолчанию

Цитата:
Как сказал Доктор Хаус:"лучше задавать вопросы нежели на них отвечать.Это делает тебя умнее,не таким идиотом кажешься!!!".
Уважаемый mr.Byoki-no Tora,я не знаю что делают файлы ZoneAlarm Force Field, а именно iswkl.sys, iswhex.dll, icsak.dll...Искал в нэте о icsak.dll ничего толкового не нашел.Что прикажете с ними делать???А также что делать ISW??? Тут с Вами согласен Аваст и Аутпост конфликтов не имеют поэтому не знаю,что Вас так напрягло...Зон Алярм наверное все таки удалю...Все равно от него толку маловато...Spybot Search&Destroy зачем это???Разве АВЗ не делает то же самое???Да Вы правы это Фак Ю Билл...Нормальная винда...Не знаю чем она вам не понравилась...Под итожим...Вы задали кучу вопросов,а на мой вопрос ответ не дали.Ну разве,что б установил прогу.И чем мне мешает жить ота фигня с китайскими иероглифами???
Уважаемый mr.k0st,но после переустановки ОСи приколов может не возникат пару суток и тазик может работать не віключаясь!!!Без перебоев и всего остального...
Ну, если вы уже взялись за д-ра Хауса, отвечу вам в том же стиле.
Если вы используете леворукую сборку Windows, то кроме "собирателей" этой сборки никто вам ничего гарантировать не может. Они понимаете ли, не автомобили делают, и гарантии не дают.

Так что для начала поставьте нормальную винду и используйте ее. Это как с китайскими средствами от похудения: никогда не знаешь, чего там будет больше - свинца или ртути.

Что делать с ISW, я тоже не знаю. Испытайте что-ли удовлетворение от того, что у вас в системе кусочки программного кода неизвестно от чего и зачем...Ведь иметь всегда лучше чем не иметь. Особенно если вы любите "левые" сборки.

Да, два антивируса в системе - это кайф. И еще ZoneAlarm. Это действительно лучший подарок на рождество для компьютера. Не понимаю, почему вы тогда против Spybot Search&Destroy? Ведь тогда у вас будет и два anti-malware. Но если не хотите не надо.
Byoki-no Tora вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 11:15   #9
Пользователи
 
Регистрация: 21.02.2006
Сообщений: 298
По умолчанию

То есть я понял что после перезагрузки оборудования картина не меняется?
То что два дня работает без проблем - не показатель вовсе.
я бы сделал так:
раз уже винду сносим постоянно - погонял на чистой оси недельку. Поставил бы только фаер и антивирь какой нить триальный официальный. Без крэков.
Если при таком раскладе начинаются выкрутасы, смотрел бы:
а) наличие вирусов. б) логи hijack в) пробовал перегрузить оборудование. Что нить должно же быть. И совет про чистую винду он актуален для тебя. Тебе надо отсеить все возможные варианты, и работать с малым.
k0st вне форума  
Digg this Post!Bookmark Post in Technorati
Старый 03.12.2009, 11:45   #10
Пользователи
 
Регистрация: 02.12.2009
Сообщений: 19
По умолчанию

Уважаемый mr.Byoki-no Tora,Вы такой смешной(не в коем случае не хочу Вас обидеть)!!! mr.L@nken,меня поймет 100%!!!У нас в Украине есть мэр города Киев.Так вот он в одном интервью сказал:"Я и моя молодая команда,что-то делаем!!!Что то важное!!!"!!!Так вот и Вы mr.Byoki-no Tora,что-то пишете,а что кто его знает!!!Повторюсь,не в коем случае не хочу Вас обидеть!!!
mr.L@nken,а что такое hijackthis и где взять результаты???С активными подключениями думаю разберусь...Да,проблемы только после выхода в нэт.Кто его знает откуда берутся вирусы...По левым сайтам лажу только когда гуглю...
mr.k0st,я и смотрю наличие вирусов,ничего.Логи отого второго я не знаю,что такое...Что значит перезагрузить оборудование???Просто нажать ресэт???Это помогает как и в случае когда я звоню сам себе...Но лишь на несколько минут...Не знаю...Кенты работают с этой ОС и у них все норм...А у меня вот такое...И никто из моих "специалистов" мне помочь не может...+Ставил я ОС вродь и не левой зборки...Только второй СП...Те же яйца только в профиль!!!
V@n4opeR вне форума  
Digg this Post!Bookmark Post in Technorati
Закрытая тема


Опции темы
Опции просмотра

Ваши права в разделе
Вы не можете создавать новые темы
Вы не можете отвечать в темах
Вы не можете прикреплять вложения
Вы не можете редактировать свои сообщения

BB коды Вкл.
Смайлы Вкл.
[IMG] код Вкл.
HTML код Выкл.
Trackbacks are Вкл.
Pingbacks are Вкл.
Refbacks are Вкл.



Текущее время: 03:28. Часовой пояс GMT.


Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2018, Jelsoft Enterprises Ltd. Перевод: zCarot
Content Relevant URLs by vBSEO 3.5.0 RC2