Показано с 1 по 4 из 4.

Еще раз о подмене startpage и т.п.

  1. #1
    MarkusX
    Guest

    Еще раз о подмене startpage и т.п.

    Во-первых, как зараза попала в систему? Да очень просто. Сквозь антивирусы, файрволлы и апдейты виндовса в придачу.
    Лазил в нете. И просто во время загрузки какой-то страницы сначала начал тормозить комп. Потом Outpost Firewall выдал сообщение, что мол Internet Explorer обновился (там еще компонент был какой-то подозрительный - ms32.tmp), что дальше делать? Ну и варианты ответов:
    - разрешить обновление
    - запретить приложению доступ к сети
    - отключить контроль компонентов
    Что выбирать? Последний вариант сразу отпадает. Когда выбираю второй вариант, я не знаю как после лечения в файрволле вернуть доступ IE к сети. Думаю, выбиру первый вариант, заодно поковыряюсь немного.
    Потом, как обычно, комп подвис. Я - на ресет. И здесь я лохонулся. Вместо "сейф моде" подгрузился в обычном. Уже при загрузке открылся IE со стартовой страницой типа lookfor.cc. Смотрю, iexplorer уже в автозагрузке.
    Есть у меня прога такая, называется BHODemon. Нашел там (кроме bho, который прописал FlashGet - 100%) еще один странный bho под названием aiaa.dll. Ничего похожего я вроде бы не устанавливал. Снял галочку, думаю поможет. Мне еще программа пару вопросов задала, типа "после отключения этого элемента его дальнейшее использование будеи невозможным. продолжить???" Жму "да". Лезу в реестр. Меняю все вхождения с lookfor.cc на нужные. Запустил еще avz. Просканил ним систему. Ничего не нашел. Перезагружаюсь...

    Ни фига Стартовая страница опять вылазит.

    Опять открываю avz. В разделе поиска указываю aiaa.dll. Нашел его в c:\windows\system. Думаю, попробую сделать так:
    regsvr32 /u aiaa.dll.
    Опа. Тут проснулся Касперский, мол, я тоже крутой, тоже зверя обнаружил. Причем обнаружил где-то в папке temporary internet files файл .gif !!! Ну, удалил я конечно его.
    Дальше запускаю hijackthis. Просканил, пофиксил нужный bho. Пофиксил все адреса (стартовой страницы, поиска и т.п.). Удалил aiaa.dll, ms32.tmp (который втупую лежал в корне диска С).

    Перезапустил машину - вроде бы пронесло на этот раз. Копии вышеуказанных файликов проверил через virusscan (http://virusscan.jotti.org/). Навыдавало мне на .tmp файл следующее:

    File: ms32.tmp
    Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)
    MD5 a3f3b8941f611df3f631d64e2bc3ac14
    Packers detected: -
    Scanner results
    AntiVir Found TR/Dldr.Small.ats
    Avast Found nothing
    AVG Antivirus Found nothing
    BitDefender Found Trojan.Downloader.Small.Gen (probable variant)
    ClamAV Found nothing
    Dr.Web Found Trojan.DownLoader.2511
    F-Prot Antivirus Found nothing
    Fortinet Found nothing
    Kaspersky Anti-Virus Found Trojan-Downloader.Win32.Small.ats
    mks_vir Found nothing
    NOD32 Found nothing
    Norman Virus Control Found nothing
    VBA32 Found Trojan.DownLoader.2511

    А теперь вопросы:
    1) как восстанавливать разрешение приложению ходить в сеть в "аутпост файрволле"?
    2) как закрыть описанную мною дыру попадания заразы в систему? Ну, понятно, скачать и установить все обновления и т.д. Но все таки, стрёмно немного, когда без лишних вопросов тебе на систему может установиться всякая дрянь. Это хорошо, что аутпост заметил, а если бы нет?

  2. Реклама
     

  3. #2
    Geser
    Guest

    Re:Еще раз о подмене startpage и т.п.

    1) как восстанавливать разрешение приложению ходить в сеть в "аутпост файрволле"?
    Закрыть и открыть заново.
    ) как закрыть описанную мною дыру попадания заразы в систему? Ну, понятно, скачать и установить все обновления и т.д. Но все таки, стрёмно немного, когда без лишних вопросов тебе на систему может установиться всякая дрянь. Это хорошо, что аутпост заметил, а если бы нет?
    Хм...
    Один способ описан тут http://www.securinfo.ru/SecurIe
    Второй способ это установить SurfinGuard http://virusinfo.info/index.php?boar...y;threadid=170

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SDA
    Регистрация
    07.01.2005
    Адрес
    Москва
    Сообщений
    7,168
    Вес репутации
    3162

    Re:Еще раз о подмене startpage и т.п.

    3) Установить другой браузер - Firefox или Opera, а можно оба вместе и не мучиться с дырками Internet Explorer. В 99% опасность получить заразу из сети через браузер будет перекрыта. Internet Explorer можно будет использовать только для закачки апдейтов для ОС и для выхода на сайты, которые плохо читают вышеуказанные браузеры, хотя в большей степени виноваты не браузеры а кривые руки вебпрограмистов.

  5. #4
    Visiting Helper Репутация
    Регистрация
    20.09.2004
    Сообщений
    187
    Вес репутации
    46

    Re:Еще раз о подмене startpage и т.п.

    Интересно, как это Касперский профукал известного ему гада?

Похожие темы

  1. Trojan.StartPage.25367
    От Bladger в разделе Помогите!
    Ответов: 4
    Последнее сообщение: 03.06.2010, 21:35
  2. Firewall ругается о подмене IP
    От Tyler2009 в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 20.01.2009, 15:51
  3. Trojan.Win32.StartPage.cyk
    От drserg в разделе Помогите!
    Ответов: 5
    Последнее сообщение: 09.11.2008, 03:29
  4. Trojan.StartPage.20520
    От AleXPander в разделе Помогите!
    Ответов: 3
    Последнее сообщение: 23.06.2008, 20:10
  5. Trojan.Startpage.Q
    От SDA в разделе Вредоносные программы
    Ответов: 2
    Последнее сообщение: 02.10.2005, 22:48

Свернуть/Развернуть Ваши права в разделе

  • Вы не можете создавать новые темы
  • Вы не можете отвечать в темах
  • Вы не можете прикреплять вложения
  • Вы не можете редактировать свои сообщения
  •  
Page generated in 0.00763 seconds with 19 queries