-
Пакость от www.ru.errorsafe.com
Чуть больше недели назад, лазая по Сети, я вдруг почувствовал, что на компьютер производится принудительная загрузка. Поскольку до этого я закачивал музыкальные файлы, а Agnitum Outpost Firewall (тогда у меня была версия 3) постоянно тормозил, я его отключил и забыл включить снова.
Обнаружив вторжение, я немедленно отключился от Сети и стал смотреть, что происходит. На панели задач, рядом с часами появился значок в виде щита с мечом. Тут же всплыло окошко с англоязычной надписью: Your computer may be infected with dangerous spyware. Щелкнув (по глупости) эту надпись, я увидел окошко, грубо сделанное под Windows. Там предлагалось проверить компьютер (кнопка Check) и узнать больше (Learn more). Как я понял, сайт принадлежит некоей компании Error Safe, производящей якобы антишпионские программы.
Поскольку я ничего подобного не заказывал, я стал всеми доступными мне средствами чистить реестр. Проверил папку Programs. Затем запустил Norton Antivirus, который ничего не обнаружил.
Тем не менее, "гостинец" от Error Safe я не удалил. Механизм его поведения такой. После включения компьютера, в упомянутом месте появляется иконка и всплывает окно с англоязычной надписью. Окно имеет крестик; если щелкнуть по нему, оно закрывается. Иконка остается. В ее контекстном меню только две опции: Open и Ignore. При выборе последней, иконка исчезает, причем изчезает даже из настроек окна "Пуск" (область уведомлений). "Гостинец" ничем себя не обнаруживает вплоть до следующего включения компьютера.
К сожалению, я тогда ничего не знал ни о программе AVZ, ни об этом форуме (спасибо вопросам на Mail.ru; один из ответов вывел меня на сайт Олега Зайцева). Я скачал программу AVZ, обновил ее базу и попытался самостоятельно убрать "гостинец". Программа выловила несколько других hoax'ов, а он продолжает сидеть. Кстати, за это время он дважды менял вид. Поначалу был щит, затем (когда я установил четвертую версию Agnitum'a) абстрактный значок, а после того, как через configsys я слазал в Автозагрузку и убрал там квадратик, не имевший адреса, иконка приобрела вид темно-красного восьмиугольника, на который помещен желтый восклицательный знак. Никакой видимой отрицательной активности этот "гостинец" не проявляет и работе компьютера не мешает. Но мне не нужны "подарки" от сомнительных фирмочек, и я очень хочу избавиться от этой иконки.
Своих знаний на борьбу с этой "пакостью" у меня не хватает. Поэтому, сделав все, предписанные Правилами проверки, прошу Вашей помощи.
Последний раз редактировалось Антон; 06.12.2006 в 16:25.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
пофиксите програмой HijackThis следующие строки:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
O2 - BHO: (no name) - {0E08FDEF-4B52-48A4-BAAD-D850D86B0C5D} - \
O20 - Winlogon Notify: winfml32 - C:\WINDOWS\SYSTEM32\winfml32.dll
пришлите по правилам форума следующие файлы:
mqrt.dll
C:\WINDOWS\SYSTEM32\winfml32.dll
C:\WINDOWS\system32\drvtog.dll
-
-
Простите мою "антивирусную" серость, но я не понимаю, что значит "пофиксить" указанные строки. Спрашиваю, чтобы не напортачить. В Правилах объяснения тоже нет. Спасибо за быстрый ответ и внимание к таким "чайникам", как я.
-
-
-
-
Я проделал всё, о чем меня просили: пофиксил указанные адреса (всего 7 адресов). Далее, действуя согласно Правилам отправки файла, стал добавлять в карантин просимые файлы. Сделал две попытки, однако файл mqrt.dll упорно не желает "карантиниться" (ни с сокращенным адресом, ни с полным). Сам этот файл я нашел в System 32 (там он значится, как Неизвестное приложение). Что делать дальше?
-
-
Попробуйте куда-нибудь скопировать. Если получится - заархивируйте с паролем virus и отправьте в соответствии с Приложением 2. Ссылка на эту тему: http://virusinfo.info/showthread.php?t=6668
-
-
Возможно, разобраться в этой закавыке помогут и мои совсем свежие наблюдения. Зайдя через msconfig на вкладку Автозагрузка, увидел два настороживших меня компонента. Насторожили они тем, что у всех остальных команда начинается с C:WINDOWS... Здесь команды совсем другие:
элемент автозагрузки regsvr 32; команда regsvr 32/smqrt.dll'; адрес HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\RUN
элемент автозагрузки drvwev; команда rundll32.exe C:\WINDOWS\System32\drvwev.dll, startup (путь в регистре такой же, как и в первом случае) Интересно, что компонент приложения drvwev создан лишь вчера (6.11.06), в то время когда я заканчивал проверку для отправки файлов на форум.
-
-
Piq, спасибо за совет. Я скопировал файл mqrt.dll в другое место, заархивировал его, запаролил и отправил по ссылке.
-
-
smqrt.dll и drvwev.dll тоже пришлите для анализа.
-
-
Pig, я сделал то, что Вы просили, но лишь наполовину. Файла smqrt.dll не существует. В Автозагрузке это обозначение прописано с пробелом: s mqrt.dll. В реестре оно относится к MsmqIntCert, а drvwev – к CTDrive.
Может, стоит убрать их из Автозагрузки (снять галочки)?
-
-
Сначала все же постарайтесь прислать файлы, чтобы было ясно, с чем имеем дело.
Снимать галки в автозагрузке (а еще лучше удалять в менеджере автозагрузки AVZ) очень часто есть смысл лишь после удаления трояна, если это троян. Иначе он сам попросту пропишется обратно.
-
-
Сначала все же постарайтесь прислать файлы, чтобы было ясно, с чем имеем дело.
Все просимые файлы отосланы в заархивированном и запароленном виде виде. Подтверждение в получении отобразилось. Значит, дошли до форума.
-
-
Уважаемые админы (злые и добрые) и хелперы!
Поскольку я – не единственный "чайник", ждущий помощи от форума, я решил не делать свое ожидание пассивным, а тоже шевелить лапами.
Слазал в реестр и удалил оттуда сомнительные адреса, о которых писал в сообщении № 10. И произошло чудо: исчезли не только "галки", но и их "гнезда" в Автозагрузке. Это было вчера. С тех пор несколько раз включал компьютер. Внешне – никаких "гостинцев".
Можно ли считать, что это был не троян и что я дешево отделался? Или все-таки нужно провести более солидную чистку? В таком случае, пожалуйста, посоветуйте, какую. Все просимые файлы я Вам отсылал.
-
-
Сообщение от
Антон
Уважаемые админы (злые и добрые) и хелперы!
Поскольку я – не единственный "чайник", ждущий помощи от форума, я решил не делать свое ожидание пассивным, а тоже шевелить лапами.
Слазал в реестр и удалил оттуда сомнительные адреса, о которых писал в сообщении № 10. И произошло чудо: исчезли не только "галки", но и их "гнезда" в Автозагрузке. Это было вчера. С тех пор несколько раз включал компьютер. Внешне – никаких "гостинцев".
Можно ли считать, что это был не троян и что я дешево отделался? Или все-таки нужно провести более солидную чистку? В таком случае, пожалуйста, посоветуйте, какую. Все просимые файлы я Вам отсылал.
-"Слазал в реестр", - говорите?.. замечательно, вот только учтите на будущее, что любые манипуляции с реестром, произведённые без чёткого представления о том что делается, есть шаг к полному краху Системы
-"удалил сомнительные адреса", а может всё-таки не "адреса", а ключи реестра?.. ну, а кто их туда прописал, и не повторится ли это в дальнейшем?.. может, всё же следовало бы найти сначала причину, и уже потом устранять следствие?..
-что можно теперь считать - сказать трудно... теперь можно только гадать, троян - НЕтроян... ну, а на сколько легко Вы отделались, покажет время
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Алекс, Вы совершенно правы; это не адреса, а ключи.
Повторяю, я понимаю, что форум не может заниматься лишь моей персоной. Указанные манипуляции я сделал по одной простой причине: надоело созерцать (и гасить) постороннюю иконку в трее. Я посылал файлы на проверку. Если что-то не дошло, пришлю снова. Теперь терпеливо жду квалифицированного совета, что делать дальше.
-
-
-из присланного:
C:\WINDOWS\SYSTEM32\winfml32.dll - Trojan.Mezzia
C:\WINDOWS\SYSTEM32\drvtog.dll - BACKDOOR.Trojan
drvwev.dll - BACKDOOR.Trojan
mqrt.dll - стандартный Microsoft Message Queue
...но мы так и не узрели s mqrt.dll! тот что запрашивал pig
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
BACKDOOR.Trojan - это срабатывания эвристического анализатора.
C:\WINDOWS\SYSTEM32\drvtog.dll / drvwev.dll
eTrust-InoculateIT 23.73.50 11.09.2006 Win32/Aflac.5ar!DLL!Trojan
eTrust-Vet 30.3.3184 11.09.2006 Win32/Aflac.C
Panda 9.0.0.4 11.08.2006 Adware/Adservice
-
-
Shu_b, cпасибо за быстрый отклик!
Я снова слазал в System32, но никакого файла s mqrt.dll не обнаружил. Поиск через Найти тоже ничего не дал. Странно, что в имени файла был пробел (так он был прописан в Автозагрузке). Именно пробел, а не знак подчеркивания.
Подскажите, пожалуйста, что мне делать со "зверьем", перечисленным в №№ 16 и 17?
-
-
Сообщение от
Антон
...что мне делать со "зверьем", перечисленным в №№ 16 и 17?
-удалять, воспользовавшись AVZ и обязательно с эврестической чисткой системы...
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Сообщение от
Антон
Я снова слазал в System32, но никакого файла s mqrt.dll не обнаружил. Поиск через Найти тоже ничего не дал. Странно, что в имени файла был пробел (так он был прописан в Автозагрузке).
s - это от ключа /s в командной строке автозапуска. Первоначальная цитата была неверная, с пробелами совсем не там.
Исходная: regsvr 32/smqrt.dll
IMHO, правильная: regsvr32 /s mqrt.dll
-