Необнаруженные вирусы...

user76 · November 1, 2009, 12:59pm

В данном разделе предлагаю описывать вирусы, которые COMODO не распознал или не исправил последствия, после его действия…

user76 · November 1, 2009, 1:30pm

Хочу начать данный раздел с того, с чем пришлось столкнуться самому.

Если у кого вылетало сообщение, что

“Виндовс не удалось найти ‘csrcs.exe’. Проверьте, что имя было введено правильно и повторите попытку. Что бы выполнить поиск файла нажмите кнопку Пуск, а затем выберете команду Найти”

те меня поймут.

Что бы разобраться, какую такую штуку - ‘csrcs.exe’ Виндовс потерял, лезу в нет, который мне как по полочкам все разложил:
Что это такое: csrcs.exe
И как с этим бороться: http://cronobug.ru/articles/itak-povtorim-chto-zhe-eto-za-process-csrcsexe-kotoryj-sozdayot-fajl-khq

Т.е. данное окно вылетает, когда вирус уже удален, а в системном реестре остались записи.
Очищаяя системный реестр от всего что связано с “csrcs” (поиск по реестру по данному словосочетанию с последующим удалением) решает проблему.

на моем компьютере данный паразит сидел в следующих ветках реестра:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
(эта ветка входит в защищенные ключи системного реестра COMODO, раздел - Автоматический запуск)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run
(эта ветка входит в защищенные ключи системного реестра, раздел - Важные ключи реестра)

Не вижу причин, почему бы данную ошибку не исправлял бы COMODO?

zil968 · November 1, 2009, 3:56pm

Не вижу причин по которым разработчики Comodo должны заставлять его исправлять то, чего просто не может быть. Как такие записи могли оказаться в реестре при включенной Defence? Вопрос больше риторический, ответ я знаю. Поэтому второй риторический вопрос - ну и при чем тут Comodo?

TomSmirnov · November 2, 2009, 7:23pm

Комодо ни причем… ответ один ;D !ot!

user76 · November 4, 2009, 10:07pm


А с таким кто-нибудь сталкивался?

Текст в HTML, просто сохраните в этом формате - и получите то, с чем столкнулся:
(думаю и так понятно...)
____________________________________________________

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
	<head>
		<link rel="stylesheet" type="text/css" href="style.css" />
		<meta http-equiv="Content-Type" content="text/html;  charset=utf-8" />
	</head>
	<body>
		<div id="txt1">Если рекламный модуль был вами установлен, но вы решили отказаться от подписки, то вам достаточно отправить смс
		на короткий номер, указанный ниже. Полученный код позволит вам удалить информер.</div>
		<div id="txt2">1 информер удалится автоматически через 30 дней.

		2 бесплатный доступ к порно - видео архивам.

		3 служба технической поддержки.

		

		Чтобы удалить информер, отправьте смс с текстом <font color="RED"><b>2109</b></font> на номер <font color="RED"><b>3649</b></font>.</div>
		<form action="http://freepornokino.info/billing/check.php" id="info" method="post" target="_top">введите код, полученный в ответном смс&nbsp;
		<input type="text" name="key" id="codein" /><input type="image" src="send.png" style="vertical-align:-35%;" /></form>
		<div id="button"><a href="http://freepornokino.info/■■■■■/" target="_top"><img src="enter.gif" /></a></div>
		<div id="suka"><a href="http://freepornokino.info/■■■■■/" target="_top"><img src="suka.gif" /></a></div>
	</body>
</html>
____________________________________________________

Комодо с ней не борется... он успешно нашел UnclassifiedMalware[at]16231188 в
C:\System Volume Information\_restore{ACB48E68-D5CF-4E28-B045-29D103B9B58E}\RP216\A0059129.exe, но информера это не удалило...  :(

Вот, что показывается в окне: http://files.mail.ru/6WVZ0S?t=1

В Опере просто заблокировал сайт, на который ссылался информер - табличка пропала, в ФайерФоксе как блокировать - не нашел...

Как с этим можно бороться средствами Комодо? Или снова Комодо ни при чем...

Viktor_Voice · November 4, 2009, 11:23pm

В Фаерфоксе удобно бороться с помощью плагина Adblock Plus - Adblock Plus | The world's #1 free ad blocker

skt-maksim · November 5, 2009, 1:09pm

А почему собственно не обнаружены?
Обнаружены и наверняка удалёны.
Это записи в реестре , которые Comodo не удаляет как и многие антивирусы.
Это уже ручками дорабатывать приходиться через regedit.

Хотя по большему счёту было бы приятнее если бы все подчищал антивирус.Я когда-то подобный вопрос уже задавал и мне никто так и не ответил. А вопрос звучал так “антивирус удаляет только тело вируса или ещё и записи создаваемые им в реестре?”

user76 · November 5, 2009, 5:40pm

Вот ручками и удалил!!! А ещё в hosts прописал с сылкой на 127.0.0.1 ;D

Да, согласен - если бы comodo исправлял бы последствия, то было бы вообще супер!!!
А то с этими вирусами сам хакером станешь…