В последние дни браузер Maxthon стал часто зависать, все время самопроизвольно открывалось окно IE с адресом www.clic-tone.com, диспетчер показывал наличие 3-4 неубиваемых процессов iexplorer, а последние 2 дня динамик стал издавать продолжительные 2-тональные сигналы типа сирены. Установлен AVP. Попытки почистить компьютер с его помощью, а также с помощью Ashampoo AntiSpyWare и Spybot, давали какие-то кратковременные результаты. Времени на переписку с Вами не было и вчера сделал восстановление системы в безопасном режиме (по-другому не получалось). Сейчас вроде все нормально. К сожалению, никаких логов у меня нет. Вопрос:
1. Правильно ли я сделал
2. Что это могло быть
3. Как правильно поступать в будущем
4. Какая защита наиболее пригодна (AVP, Ashampo и Spybot не справились)
PS. Часто появлялись сообщения AVP об активности Ref Spam Meet Body/MfcdFree.exe
Есть файл C:\WINDOWS\system32\drivers\etc\host. На мой взгляд, его просто изнасиловал кто-то типа "added by CiD". В C:\Documents and Settings\All Users\Application Data были 2 папки типа Ref Spam Meet Body и Bin Locks Dupe
Последний раз редактировалось kservice; 16.03.2007 в 22:08.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Подумал и решил, что может еще нужны логи HijackThis. Ведь не зря же надо было сделать "После перезагрузки "пофиксите" в HijackThis"
Лог hijackthis_2 получен после сканирования системы, а hijackthis_3 - после выполнения операции "Fix checked"
Ну вот, только отправил предыдущее сообщение и компьютер опять начал издавть 2-тональный сигнал типа полицейской сирены. Можно ли перезапустить его для избавления от этого воя?
Последний раз редактировалось kservice; 18.03.2007 в 18:20.
Подергал разъемы на материнке и звук пропал. Может быть его причиной был вовсе не вирус? Посмотрим дальше, но бездействие системы с момента появления звука сохраняется 90-95%. Вентилятор на процессоре мне пока недоступен из-за блока питания. Позже разберу и посмотрю.
Результат загрузки
Файл сохранён как 070322_222934_virus 2007-03-22_4602d91e272e1.zip
Размер файла 467610
MD5 6c6fb9a7cfa27424408401feff300163
Обращаю еще раз Ваше внимание: наличие вирусов (?) было очевидно только до отката системы. Сейчас, на мой взгляд, все нормально, хотя иногда KAV сообщает о запуске каких-то не совсем понятных процессов.
Те файлы, что попали в карантин чистые Остальные Вам придется вылавливать вручную. Перезагрузите компьютер в режим Safe Mode. О таом как это сделать написанно здесь Вам нужно включить настройку "показывать скрытые и системные файлы". В проводнике это делается так: Мой компьютер - Сервис - Свойство папки Вид - Скрытые файлы и паки - Показывать скрытые файлы и папки. Ищите вручную файлы
C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe
C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\Sy stem.dll
Копируете эти файлы в отдельную папку. Перезагружаетесь в обычный режим. Архивируете паку в которую копировали эти файлы под пароль virus и присылаете архив к нам по правилам раздела.
C:\Documents and Settings\All Users\Application Data\Ref Spam Meet Body\MfcdFree.exe -этот файл был на момент заражения, но сейчас его нет!
Нашел нечто подобное MfcdFree.exe-00C2D669.pf в папке C:\Windows\Prefetch
C:\DOCUME~1\КОНСТА~1.T98\LOCALS~1\Temp\nsb7.tmp\Sy stem.dll - такой директории C:\DOCUME~1 нет, равно как и файла. System.dll есть, но не в папке nsb7.tmp
Уважаемый(ая) kservice, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: