Текущее время: 28 мар 2024 16:54

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ Сообщений: 4 ] 
Автор Сообщение
 Заголовок сообщения: Аваст Интернет Секьюрити
СообщениеДобавлено: 09 июн 2011 22:58 
Аватара пользователя
Не в сети

Зарегистрирован:
17 ноя 2010 10:40
Сообщения: 272
Откуда:
Кривой Рог

Награды:

Активист форумаНаш бета-тестерСлово – золото
Сегодня пришлось у клиента повозиться. Жалоба - не работает интернет. Интернет подключается через DSL-модем. Консультации по телефону привели к мысли, что перебит кабель от компьютера к модему (физически устройства находятся в разных комнатах и теоретически шанс перебитого кабеля был очень высок). Прийдя к клиенту, обратил внимание, что отключены настройки протокола TCP IP. Настроил. Но до модема достучаться не могу. При этом и модем и сетевая на компьютере индикаторами показывают, что они увидели друг друга. Забрал модем в комнату к компьютеру. Подключил через свой патч-корд. Ситуация не изменяется - устройства вроде бы и видят друг друга, а пинги от компьютера к модему не проходят вообще. У людей стоял на вооружении Аваст. Обратил внимание, что в сетевых протоколах есть служба "Аваст фаерволл...что-то там еще". Отключил ее. Пошли пинги, появился интернет. Начал ковырять глубже. На данном этапе на компьютере в трее отображается ярлык Аваст Интернет Секьюрити. Попытки открыть его настройки - открывается стандартное окно Аваста, в котором написано что-то вроде "Аваст в данный момент работает в супер защищенном режиме и от Вас ничего не требуется". Посмотрел откуда Этот Аваст стартует... И обалдел... Windows\update.1\svchost.exe с параметрами. На диске есть такая папка. В запущенных службах как обычно куча процессов svchost. Убил все, которые запущены от имени пользователя. Почистил папку Temp, Temporary Internet Files, реестр там где было подозрительное упоминание svchost, автозагрузку через msconfig(дополнительно были удалены запуски подозрительных файлов - без описания производителя и со странными именами, состоящими из одних цифр). Перезагрузился. Вроде все работает стабильно. С помощью unlocker удалил \Windows\update.1\svchost.exe. Перезагрузился еще раз - все работает. Образец на всякий случай взял на флешку. Попытался найти какие нибудь остатки Аваста - только запись в "Установленных программах" с возможностью эту запись удалить. В общем вирус удалил полностью Аваст, установился под его именем и запрещал доступ в сеть. Дома проверил папку с образцом с помощью НаноАВ. НаноАВ сказал :twisted: вылечить не смог и удалил файлик svchost.exe с примечанием "\update.1\svchost.exe Заражен Trojan.Binary.Win32.Agent.llsi Удален". Вот такая вот история приключилась.
А Аваст на рынке антивирусов работает дольше, чем НаноАВ. А все такой же дырявый, как и был несколько лет назад. Собственно почему я от него и отказался.
PS из подозрительных файлов с цифровым именем один у меня все таки остался(вспомнил что нужно бы проверить дома). Но при проверке НаноАВ его пропустил. Стоит ли отсылать образец в лабораторию?


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Аваст Интернет Секьюрити
СообщениеДобавлено: 10 июн 2011 13:03 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
Здравствуйте, Viha.

В последнее время появляется все больше заразы, удаляющей настоящие антивирусы (разных вендоров) и успешно маскирующейся под них. Именно по этой причине антивирусы усиливают самозащиту.

Что касается подозрительного файла с цифрами - да, стоит прислать этот файл для дальнейшего анализа. Спасибо.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Аваст Интернет Секьюрити
СообщениеДобавлено: 14 июн 2011 01:12 
Аватара пользователя
Не в сети

Зарегистрирован:
17 ноя 2010 10:40
Сообщения: 272
Откуда:
Кривой Рог

Награды:

Активист форумаНаш бета-тестерСлово – золото
Добрый день. Выслал подозрительный файл в архиве av.rar на support@nanoav.ru тема письма "подозрительный" в письме указана ссылка на эту тему на форуме.


Вернуться к началу
 Профиль  
 
 Заголовок сообщения: Re: Аваст Интернет Секьюрити
СообщениеДобавлено: 15 июн 2011 12:36 
NanoAV Team
Аватара пользователя
Не в сети

Зарегистрирован:
20 мар 2009 17:51
Сообщения: 1518
Откуда:
Брянск
Здравствуйте, Viha.

Спасибо за присланный образец. Файл является вредоносным (троян), определяться начнет ориентировочно с завтрашним обновлением баз.


Вернуться к началу
 Профиль  
 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ Сообщений: 4 ] 

Часовой пояс: UTC + 3 часа


Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
cron
POWERED_BY
Русская поддержка phpBB