-
Junior Member
- Вес репутации
- 57
ылнпкфииук(в др. раскладке) - вырубает браузер 0_0
Много разных глюков/вирусов повидал, но такое..впервые
Примерн неделю назад вырубило браузер Опера при запросе к какому-то сайту, после чего запускаться с теми же вкладками Опера не хотела - отключалась на 3-4 сек загрузки. Пришлось запустить со стартовой страницы (с одной пустой вкладки), какая именно вкладка вызывала такое поведение я так и не понял, так как их было много.
История повторилась и в этот раз я засёк нарушителя :-) Ввожу в яндексе ылнпкфииук (др. раскладка) и всё, Опера мгновенно отрубается. Ну, думаю, глюк Оперы, хороший браузер, но недостатки есть...Попробовал Firefox - тоже самое! InternetExplorer - продержался чуть больше, но при переходе на страницу ылнпкфииукюсщь вырубился. Захожу сюда на virusinfo.info, ввожу в поиске это самое ылнпкфииук - опять вырубился (браузер)!! Даж downloadmaster вырубается при вводе ссылки с этого сайта. Через анонимайзер удалось продержаться на вышеуказанном сайте 2-3мин, но при попытке скачивания программы - вырубает
Вот не знаю, что и думать.
Логи прилагаю
Последний раз редактировалось Sality; 20.12.2009 в 20:01.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.
В AVZ выполните скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('D:\StaffLogger\sysdrvmon.exe','');
DeleteService('abp470n5');
QuarantineFile('O:\WINDOWS\system32\drivers\msenhn.sys','');
DeleteFile('O:\WINDOWS\system32\drivers\msenhn.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('TSW',3,3,true);
RebootWindows(true);
end.
После перезагрузки
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Какие из этих ай пи ваши?
217.106.208.2, 195.161.106.2
195.161.106.2 62.182.207.245
Что такое Bonjour Service и как его удалить. http://virusinfo.info/showthread.php?t=27923
Пришлите карантин quarantine.zip по красной ссылке Прислать запрошенный карантин вверху темы
Сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 57
Скрипты выполнил и карантин послал. Касаемо Bonjour Service:
Как видно, ничего опасного нет.
А как это отразится на iTunes, насколько я знаю именно эта программа устанавливает данный сервис?
Какие из этих ай пи ваши?
217.106.208.2, 195.161.106.2
195.161.106.2 62.182.207.245
217.106.208.2 и 195.161.106.2 - это DNS-адреса прописанные в свойствах подключения вручную, а 62.182.207.245 - это IP провайдера вроде.
Новые логи сделал.
-
Посмотрите, есть ли файл на диске? D:\StaffLogger\sysdrvmon.exe, если есть попробуйте скопировать его с помощью AVZ(приложение 2) и прислать по правилам, если не получится, то скопируйте файл с помощью IceSword
-
-
Junior Member
- Вес репутации
- 57
sysdrvmon.exe найти не удалось и папки такой на диске D:\ нет
Но симптомы пропали, теперь могу вводить skygrabber.com в любом браузере без проблем, спасибо!
Остался вопрос: Что это было то?!?
-
Судя по всему остатки от вируса идентичного вашему нику Sality или win32.sector. Файлы в карантин не попали.
-
-
Junior Member
- Вес репутации
- 57
А почему он блочил этот сайт? Было бы понятно, если бы блочились сайты антивиров (как с sality), но skygrabber.com? Услышав в новостях, что прога с этого сайта позволяет взламывать американские беспилотники и "граббить" изображения с них, я уж подумал, что это такая "цензура спецслужб"
Ну и напоследок такой вопрос: после перезагрузки компьютера перестаёт работать подключение к интернету: пинг есть, жму подключить - подключает, на секунду появляется иконка подключения в трее и сразу вырубается - поведение такое же, как если бы кто-нибудь сидел в интернете с моего логин/пароля. Примерно через 20-30 минут нормально подключается. Может ли это быть связано с вирусом и его остатками или мне обратиться к провайдеру?
-
-
-
Junior Member
- Вес репутации
- 57
Сделано
-
вот эти файлы пришлите через карантин AVZ:
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\lvds.sys (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\ns2501.sy s (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\ns387.sys (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\sii164.sy s (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\softpd.sy s (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\th164.sys (Rootkit.Rustock) -> No action taken.
E:\XP\WINXP_SP2\Drivers\VGA\Intel\Driver\ti410.sys (Rootkit.Rustock) -> No action taken.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 57
Готово (правд sii164.sys почему-то в карантит лезть не хочет):
Файл сохранён как 091223_130713_virus_4b31ebd1e42a6.zip
Размер файла 21667
MD5 4c3b9eab90dbf77f003f511af54eb9c6
Это файлы из образа винды от филка.ру
Но, вроде бы, я последний раз не с этого образа винду ставил.
Последний раз редактировалось Sality; 23.12.2009 в 15:11.
-
Удалите в мбам:
Код:
Заражено ключей реестра:
HKEY_CLASSES_ROOT\CLSID\{9c453f21-396d-11d5-9734-70e252c10127} (Backdoor.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\DRM\amty (Worm.Autorun) -> No action taken.
В AVZ выполните скрипт:
Код:
begin
DeleteFileMask(GetAVZDirectory+'Quarantine', '*.*', true);
QuarantineFile('O:\System Volume Information\_restore{FA03BBB3-600F-444E-BF13-A07DB471BA62}\RP166\A0051131.exe','');
QuarantineFile('D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins\Empty Key.dll','');
QuarantineFile('D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins\SlySoft.dll','');
end.
пришлите карантин согласно правил.
-
-
Junior Member
- Вес репутации
- 57
Сообщение от
миднайт
Удалите в мбам
В AVZ выполните скрипт
пришлите карантин согласно правил.
Сделано:
Файл сохранён как 091223_184631_virus_4b323b57e0c72.zip
Размер файла 39823
MD5 82ed54d799ba00f093fef4bf4bfee46e
-
Файлы из папки D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins не попали в карантин, посмотрите есть ли они на диске? Если есть, пришите по правилам.
Выполните скрипт:
Код:
begin
SetAVZPMStatus(true);
end.
логи повторите.
-
-
Junior Member
- Вес репутации
- 57
Файлы из папки D:\Lankr\Программы\Trial-Reset 3.0 Final\Plugins не попали в карантин, посмотрите есть ли они на диске? Если есть, пришите по правилам.
Выполните скрипт:
Файл сохранён как 091224_215538_virus_4b33b92a67e36.zip
Размер файла 14982
MD5 bc3966b2913fee659a34e1232f9c43e7testtesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttesttesttesttesttestte sttesttesttesttesttesttesttesttesttesttesttesttest testtesttesttesttesttesttesttest
Странно, в последнее время появился этот глюк (см.выше) - куча надписей test вставляются в место нахождения курсора (подозреваю keyswitcher, но я его не трогал, а раньше он так не глючил вроде).
Карантин через авз создать не удалось, просто заархивил эти файлы вручную и послал (пароль:virus).
Логи готовы.
Последний раз редактировалось Sality; 24.12.2009 в 23:51.
Причина: Прост с логом HijackThis перепутал
-
testtesttest - это не глюк, это специфика работы AVZ при сканировании.
В hijackthis пофиксите:
Код:
O4 - HKCU\..\Run: [StaffLogger] D:\StaffLogger\sysdrvmon.exe
В AVZ выполните скрипт:
Код:
begin
SetAVZGuardStatus(True);
QuarantineFile('D:\StaffLogger\sysdrvmon.exe','');
DeleteFile('D:\StaffLogger\sysdrvmon.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','StaffLogger');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
если в карантин чтото попадет, пришлите по правилам.
+ в дополнение сделайте лог Gmer
-
-
Junior Member
- Вес репутации
- 57
если в карантин чтото попадет, пришлите по правилам.
+ в дополнение сделайте лог Gmer
Отсутствовал пару дней по техн.причинам (сгорел блок питания компа). Всё сделал. В карантине пусто. Лог Gmer прилагаю.
-
Junior Member
- Вес репутации
- 57
Ничего, если я чуток Up-ну тему? )
-
Конечно ничего
Полный комплект логов приложите. Незабудьте выполнить снова правила (некоторое время всёже прошло)
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 4
- Обработано файлов: 10
- В ходе лечения вредоносные программы в карантинах не обнаружены
-