Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 28.

Пакость от www.ru.errorsafe.com (заявка № 6668)

  1. #1
    Антон
    Guest

    Thumbs up Пакость от www.ru.errorsafe.com

    Чуть больше недели назад, лазая по Сети, я вдруг почувствовал, что на компьютер производится принудительная загрузка. Поскольку до этого я закачивал музыкальные файлы, а Agnitum Outpost Firewall (тогда у меня была версия 3) постоянно тормозил, я его отключил и забыл включить снова.

    Обнаружив вторжение, я немедленно отключился от Сети и стал смотреть, что происходит. На панели задач, рядом с часами появился значок в виде щита с мечом. Тут же всплыло окошко с англоязычной надписью: Your computer may be infected with dangerous spyware. Щелкнув (по глупости) эту надпись, я увидел окошко, грубо сделанное под Windows. Там предлагалось проверить компьютер (кнопка Check) и узнать больше (Learn more). Как я понял, сайт принадлежит некоей компании Error Safe, производящей якобы антишпионские программы.

    Поскольку я ничего подобного не заказывал, я стал всеми доступными мне средствами чистить реестр. Проверил папку Programs. Затем запустил Norton Antivirus, который ничего не обнаружил.

    Тем не менее, "гостинец" от Error Safe я не удалил. Механизм его поведения такой. После включения компьютера, в упомянутом месте появляется иконка и всплывает окно с англоязычной надписью. Окно имеет крестик; если щелкнуть по нему, оно закрывается. Иконка остается. В ее контекстном меню только две опции: Open и Ignore. При выборе последней, иконка исчезает, причем изчезает даже из настроек окна "Пуск" (область уведомлений). "Гостинец" ничем себя не обнаруживает вплоть до следующего включения компьютера.

    К сожалению, я тогда ничего не знал ни о программе AVZ, ни об этом форуме (спасибо вопросам на Mail.ru; один из ответов вывел меня на сайт Олега Зайцева). Я скачал программу AVZ, обновил ее базу и попытался самостоятельно убрать "гостинец". Программа выловила несколько других hoax'ов, а он продолжает сидеть. Кстати, за это время он дважды менял вид. Поначалу был щит, затем (когда я установил четвертую версию Agnitum'a) абстрактный значок, а после того, как через configsys я слазал в Автозагрузку и убрал там квадратик, не имевший адреса, иконка приобрела вид темно-красного восьмиугольника, на который помещен желтый восклицательный знак. Никакой видимой отрицательной активности этот "гостинец" не проявляет и работе компьютера не мешает. Но мне не нужны "подарки" от сомнительных фирмочек, и я очень хочу избавиться от этой иконки.

    Своих знаний на борьбу с этой "пакостью" у меня не хватает. Поэтому, сделав все, предписанные Правилами проверки, прошу Вашей помощи.
    Последний раз редактировалось Антон; 06.12.2006 в 16:25.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    пофиксите програмой HijackThis следующие строки:
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com
    R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com
    R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com
    O2 - BHO: (no name) - {0E08FDEF-4B52-48A4-BAAD-D850D86B0C5D} - \
    O20 - Winlogon Notify: winfml32 - C:\WINDOWS\SYSTEM32\winfml32.dll

    пришлите по правилам форума следующие файлы:
    mqrt.dll
    C:\WINDOWS\SYSTEM32\winfml32.dll
    C:\WINDOWS\system32\drvtog.dll

  4. #3
    Антон
    Guest
    Простите мою "антивирусную" серость, но я не понимаю, что значит "пофиксить" указанные строки. Спрашиваю, чтобы не напортачить. В Правилах объяснения тоже нет. Спасибо за быстрый ответ и внимание к таким "чайникам", как я.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    158
    в разделе ЧАВО эта тема на первом месте: http://virusinfo.info/showthread.php?t=4491

  6. #5
    Антон
    Guest
    Я проделал всё, о чем меня просили: пофиксил указанные адреса (всего 7 адресов). Далее, действуя согласно Правилам отправки файла, стал добавлять в карантин просимые файлы. Сделал две попытки, однако файл mqrt.dll упорно не желает "карантиниться" (ни с сокращенным адресом, ни с полным). Сам этот файл я нашел в System 32 (там он значится, как Неизвестное приложение). Что делать дальше?

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Попробуйте куда-нибудь скопировать. Если получится - заархивируйте с паролем virus и отправьте в соответствии с Приложением 2. Ссылка на эту тему: http://virusinfo.info/showthread.php?t=6668

  8. #7
    Антон
    Guest
    Возможно, разобраться в этой закавыке помогут и мои совсем свежие наблюдения. Зайдя через msconfig на вкладку Автозагрузка, увидел два настороживших меня компонента. Насторожили они тем, что у всех остальных команда начинается с C:WINDOWS... Здесь команды совсем другие:

    элемент автозагрузки regsvr 32; команда regsvr 32/smqrt.dll'; адрес HKLM\SOFTWARE\MICROSOFT\WINDOWS\CURRENT VERSION\RUN

    элемент автозагрузки drvwev; команда rundll32.exe C:\WINDOWS\System32\drvwev.dll, startup (путь в регистре такой же, как и в первом случае) Интересно, что компонент приложения drvwev создан лишь вчера (6.11.06), в то время когда я заканчивал проверку для отправки файлов на форум.

  9. #8
    Антон
    Guest
    Piq, спасибо за совет. Я скопировал файл mqrt.dll в другое место, заархивировал его, запаролил и отправил по ссылке.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    smqrt.dll и drvwev.dll тоже пришлите для анализа.

  11. #10
    Антон
    Guest
    Pig, я сделал то, что Вы просили, но лишь наполовину. Файла smqrt.dll не существует. В Автозагрузке это обозначение прописано с пробелом: s mqrt.dll. В реестре оно относится к MsmqIntCert, а drvwev – к CTDrive.

    Может, стоит убрать их из Автозагрузки (снять галочки)?

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    17.09.2004
    Сообщений
    1,664
    Вес репутации
    763
    Сначала все же постарайтесь прислать файлы, чтобы было ясно, с чем имеем дело.
    Снимать галки в автозагрузке (а еще лучше удалять в менеджере автозагрузки AVZ) очень часто есть смысл лишь после удаления трояна, если это троян. Иначе он сам попросту пропишется обратно.

  13. #12
    Антон
    Guest
    Сначала все же постарайтесь прислать файлы, чтобы было ясно, с чем имеем дело.

    Все просимые файлы отосланы в заархивированном и запароленном виде виде. Подтверждение в получении отобразилось. Значит, дошли до форума.

  14. #13
    Антон
    Guest
    Уважаемые админы (злые и добрые) и хелперы!

    Поскольку я – не единственный "чайник", ждущий помощи от форума, я решил не делать свое ожидание пассивным, а тоже шевелить лапами.
    Слазал в реестр и удалил оттуда сомнительные адреса, о которых писал в сообщении № 10. И произошло чудо: исчезли не только "галки", но и их "гнезда" в Автозагрузке. Это было вчера. С тех пор несколько раз включал компьютер. Внешне – никаких "гостинцев".

    Можно ли считать, что это был не троян и что я дешево отделался? Или все-таки нужно провести более солидную чистку? В таком случае, пожалуйста, посоветуйте, какую. Все просимые файлы я Вам отсылал.

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от Антон
    Уважаемые админы (злые и добрые) и хелперы!

    Поскольку я – не единственный "чайник", ждущий помощи от форума, я решил не делать свое ожидание пассивным, а тоже шевелить лапами.
    Слазал в реестр и удалил оттуда сомнительные адреса, о которых писал в сообщении № 10. И произошло чудо: исчезли не только "галки", но и их "гнезда" в Автозагрузке. Это было вчера. С тех пор несколько раз включал компьютер. Внешне – никаких "гостинцев".

    Можно ли считать, что это был не троян и что я дешево отделался? Или все-таки нужно провести более солидную чистку? В таком случае, пожалуйста, посоветуйте, какую. Все просимые файлы я Вам отсылал.
    -"Слазал в реестр", - говорите?.. замечательно, вот только учтите на будущее, что любые манипуляции с реестром, произведённые без чёткого представления о том что делается, есть шаг к полному краху Системы
    -"удалил сомнительные адреса", а может всё-таки не "адреса", а ключи реестра?.. ну, а кто их туда прописал, и не повторится ли это в дальнейшем?.. может, всё же следовало бы найти сначала причину, и уже потом устранять следствие?..
    -что можно теперь считать - сказать трудно... теперь можно только гадать, троян - НЕтроян... ну, а на сколько легко Вы отделались, покажет время
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  16. #15
    Антон
    Guest
    Алекс, Вы совершенно правы; это не адреса, а ключи.

    Повторяю, я понимаю, что форум не может заниматься лишь моей персоной. Указанные манипуляции я сделал по одной простой причине: надоело созерцать (и гасить) постороннюю иконку в трее. Я посылал файлы на проверку. Если что-то не дошло, пришлю снова. Теперь терпеливо жду квалифицированного совета, что делать дальше.

  17. #16
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    -из присланного:
    C:\WINDOWS\SYSTEM32\winfml32.dll - Trojan.Mezzia
    C:\WINDOWS\SYSTEM32\drvtog.dll - BACKDOOR.Trojan
    drvwev.dll - BACKDOOR.Trojan
    mqrt.dll - стандартный Microsoft Message Queue
    ...но мы так и не узрели s mqrt.dll! тот что запрашивал pig
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Shu_b
    Регистрация
    02.11.2004
    Сообщений
    3,553
    Вес репутации
    1662
    BACKDOOR.Trojan - это срабатывания эвристического анализатора.

    C:\WINDOWS\SYSTEM32\drvtog.dll / drvwev.dll
    eTrust-InoculateIT 23.73.50 11.09.2006 Win32/Aflac.5ar!DLL!Trojan
    eTrust-Vet 30.3.3184 11.09.2006 Win32/Aflac.C
    Panda 9.0.0.4 11.08.2006 Adware/Adservice

  19. #18
    Антон
    Guest
    Shu_b, cпасибо за быстрый отклик!
    Я снова слазал в System32, но никакого файла s mqrt.dll не обнаружил. Поиск через Найти тоже ничего не дал. Странно, что в имени файла был пробел (так он был прописан в Автозагрузке). Именно пробел, а не знак подчеркивания.

    Подскажите, пожалуйста, что мне делать со "зверьем", перечисленным в №№ 16 и 17?

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    959
    Цитата Сообщение от Антон
    ...что мне делать со "зверьем", перечисленным в №№ 16 и 17?
    -удалять, воспользовавшись AVZ и обязательно с эврестической чисткой системы...
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  21. #20
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1315
    Цитата Сообщение от Антон
    Я снова слазал в System32, но никакого файла s mqrt.dll не обнаружил. Поиск через Найти тоже ничего не дал. Странно, что в имени файла был пробел (так он был прописан в Автозагрузке).
    s - это от ключа /s в командной строке автозапуска. Первоначальная цитата была неверная, с пробелами совсем не там.
    Исходная: regsvr 32/smqrt.dll
    IMHO, правильная: regsvr32 /s mqrt.dll

  • Уважаемый(ая) Антон, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Помогите удалить эту пакость Spy.Shiz.NCE
      От WolfGun в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 23.11.2011, 13:00
    2. Пакость засела в Opera
      От Sisusa в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2009, 16:03
    3. пакость
      От ggR в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 17.08.2009, 05:13
    4. spool.exe, ftpdll.dll, ntos.exe и прочая пакость
      От sTrIKer в разделе Помогите!
      Ответов: 13
      Последнее сообщение: 22.02.2009, 07:50
    5. Поймал очередную пакость :(
      От kol в разделе Помогите!
      Ответов: 7
      Последнее сообщение: 22.02.2009, 06:56

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00385 seconds with 19 queries