-
Junior Member
- Вес репутации
- 65
посторонний траффик + скрытое (в фоновом режиме) посещение порносайтов
Зайдя на один плохой сайт, получил предупреждение от Control-Centre
Касперского. После чего заметил посторонний траффик, а также в
журнале Internet Explorer-а наблюдаю ежеминутное добавление адресов
порносайтов в списке посещенных URL, причем явно эти сайты не открываются,
т.е. я не вижу никаких самостоятельно открываемых окон, все происходит в
фоновом режиме. В журнале каждую минуту добавляется новый URL и одновременно
происходит отправка и прием траффика в интервале 50-250 Кб.
Запустил Касперского (без расширенных баз), обновил базу, включил
сканер, он ничего не обнаружил (до этого Касперского регулярно обновлял
и сканировал все файлы).
Хотя Control-Centre Касперского через некоторое время нахождения
компьютера в подключенном к интернету состоянии обнаружил и вылечил
вирус (видимо загрузился с одного из порносайтов), я отключился от
интернета, но Control-Centre Касперского продолжал с интервалом в 10
минут выдавать сообщения вида:
Файл: C:\DOCUME~1\Alex\LOCALS~1\Temp\Script_003bdd1b.htm l
Инфицирован вирусом: Exploit.Win32.MS05-013.gen
Объект вылечен
в каждом новом сообщении указывался один и тот же путь к файлу, лишь в
названии самого файла менялись цифры и буквы между "Script_" и ".html"
Зашел в папку "Temp", но не обнаружил там ни одного файла с расширением ".html"
несмотря на это сообщения продолжали выдаваться весь день каждые 10 мин.
Повторное сканирование Касперским на следующий день также не обнаружило ни одного вируса.
Но вышеописанных сообщений уже не появлялось.
Сканирование при помощи утилиты Drweb-CureIT так же не дало никаких результатов.
AVZ не нашел вредоносных программ, но указал на:
Нестандартный префикс по умолчанию в IE: "http://htpp.ws?"
Нестандартный префикс для WWW в IE: "http://htpp.ws?"
Нестандартный Default префикс в IE: "http://htpp.ws?"
Я зашел в реестр и исправил префикы на "http://", кроме первого, который "по умолчанию",
потому как там в поле значения было: "(значение не присвоено)" и я его оставил
неприсвоенным. Несмотря на это, после непродолжительного времени соединения с
интернетом префиксы опять подменяются на "http://htpp.ws?" и открытие порносайтов
в фоновом режиме не прекращается.
По инструкции с Virusinfo отключил восстановление системы, сделал первый лог
AVZ, перезагрузился, сделал второй лог, сделал лог HijackThis, включил
восстановление системы.
На всякий случай делал скриншоты сообщений Касперского, журнала IE, и т.п.
При необходимости, могу их прислать.
Выкладываю три лога, как написано в инструкции.
Очень надеюсь на помощь экспертов.
Спасибо, что есть такой ресурс, как Virusinfo.info
Последний раз редактировалось Алек; 15.07.2010 в 09:58.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пришлите как написано в правилах -
C:\Program Files\PViever\pviever.exe
C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
C:\WINDOWS\system32\nvraidservice.exe
Перегрузитесь в SafeMode и сотрите каталог
C:\Program Files\PViever\
После перезагрузки в нормальный режим запустите Hijack и пофиксите строки -
O4 - HKLM\..\Run: [PViever] "C:\Program Files\PViever\pviever.exe" hide
O15 - Trusted Zone: toysshop.ibox.ru
O15 - Trusted Zone: *.impulse-auto.ru
O15 - Trusted Zone: impulse-auto.magazinchik.ru
O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix-i.com/download/ipixx.cab
PS: NVRTClk.exe и nvraidservice.exe - трогать пока не нужно
-
-
Проблемы закончились ?
Собственно PViever http://virusinfo.info/showpost.php?p...&postcount=111 и есть порнокрутилка.
-
-
Junior Member
- Вес репутации
- 65
RiC, огромное спасибо!
Эта гадина уничтожена и проблема решена!
С радостью отправил пожертвования на поддержание проекта