редирект на вредоносный форум + js. Kryptik trojan
Загружено 2 файла, так как "Если у Вас 64-разрядная или серверная операционная система, выполнять п.1 данного раздела не следует. Переходите сразу к п.2." http://virusinfo.info/content.php?r=136-pravila - у меня 64 разрядная, соотв., virusinfo_syscure.zip не делала. если надо - сделаю.
Проблема:
сейчас
1. я решила, что у меня вирус, так как 1 раз у меня открылся вместо сайта kabinet1.ru непонятный форум hxxp://www.ipmart-forum.com/forum.php?.
второй раз этот форум открылся, когда я кликнула в скайпе на ссылку яндексовского инструмента wordstat.
После того, как открывался этот форум, то mcafee выдавал предупредление (см снимок mcafee на рабочем столе).
2. все проверки ничего не дали. то есть вообще ничего. угроз 0.
3. Удалили мне хром, фаерфокс и почистили все-все на ИЕ.
в начале июня:
я заходила на booking.com, где мне выдавалось предупреджление есета, что троянская программа js. Kryptik trojan пытается что-то сделать, за что была изолирована. в инкогнито она не активируется
Спасибо большое за помощь!
Последний раз редактировалось mike 1; 05.07.2014 в 23:24.
Причина: Подозрительные ссылки
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Уважаемый(ая) Joy123, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Распакуйте архив с утилитой в отдельную папку
Запустите sitlog.exe
Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите Да
В главном окне программы выберите проверку за последние три месяца и нажмите "Старт"
По окончанию работы программы в папке LOG должны появиться два отчета SITLog.txt и SITLog_Info.txt
[LIST=1][*]Скачайте SITLog и сохраните архив с утилитой на Рабочем столе
Сразу после скачивания ЕСЕТ выдал предупреждение и потребовал перезагрузиться для полного удаления (скопировала из Файлов Журнала). Скорее всего именно на это среагировал, т.к. при повторении то же самое произошло.
"Защита в режиме реального времени файл C:\Program Files\Immunet\clamav\temp\clamtmp\clamav-179d57eee2cb27605029742567cba44b.tmp Win32/RiskWare.PEMalform.E приложение очищен удалением (после следующего перезапуска) - изолирован NT AUTHORITY\СИСТЕМА Событие произошло в новом файле, созданном следующим приложением: C:\Program Files\Immunet\3.1.13\sfc.exe." - посмотрела
Проблема во всех браузерах? В Internet Explorer проблема наблюдается? Рекомендую деинсталлировать целую кучу различного защитного ПО и оставить что нибудь одно. Сейчас установлено:
ESET Smart Security [7.0.302.8]
Immunet 3 [3.1.13.9666]
McAfee Security Scan Plus
Malwarebytes Anti-Malware, версия 2.0.2.1012
SpyHunter
Проблема как минимум в Хроме, и то не всегда. ИЕ пробовала, но там редиректа не было. Но я им редко пользуюсь (в разы меньше ,чем Хромом, может, редирект раз в 100 раз работает), поэтому наверняка исключить ИЕ не могу. Фаерфокс - аналогично
Кстати, в Хроме в режиме инкогнито на booking.com никакой угрозы тот же есет не выдавал.
Скажите, пж, так есть что-то или нет? можно что-то уже сказать?
я оставлю есет. или можете дать рекомендацию, что лучше поставить?
Мы удалили, а потом поставили заново мне хром. на прошлом стоял только ghostery, на этом "Документы Google 0.7", его на всякий случай тоже удалила.
С редиректом вроде бы разобрались - у нас днс угнали (уже доступы поменяли). и теперь главное понять, кто и как это сделал:
у меня пароли все храняться в keepass pоrtable, который, после первой нашей самостоятельной чистки куда-то пропал (это когда браузеры удаляли). причем что пропал даже ярлык с панели задач. непохоже, что мы киипас сами удалили (хотя не исключено, что он лежал, например, в downloads хрома и при удалении хрома удалился и он. хотя при повторении удаления из загрузок- ярлык в панели задач остался).
Я удалять сам Chrome не просил. Просил просто попробовать отключить все расширения в браузере. По поводу keepass возможно портативная версия программы находилась в папке загрузок.
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else
begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath)
else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к браузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
Здравствуйте,
- Хром мы удаляли до обращения на вирусинфо.
- выполнила скрипт. ничего не найдено. о чем это говорит? есть вирус у меня или нет?
Спасибо
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: