Страница 1 из 3 123 Последняя
Показано с 1 по 20 из 48.

Антивирус заблокировал некую страницу, которую я не открывал (заявка № 87918)

  1. #1
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52

    Done Антивирус заблокировал некую страницу, которую я не открывал

    Здравствуйте,

    Вообще говоря, проверка моя больше профилактическая, т.к. никаких проявлений чего-то непосредственно зловредного не наблюдается, но для успокоения совести, как говорится... С полчаса назад работал в интернете, вкладки были все проверенные, никаких "левых" сайтов; кажется, помню, что начал искать что-то в Гугле и, пока страница грузилась, переключился на чтение другой вкладки. Через несколько секунд AVG мне выдал окно (см. скриншот). Твиттером я пользуюсь, да, но этот адрес вижу впервые, и уж тем более у меня такой вкладки открыто не было. Что это? Кусок чего-то из содержимого, найденного Гуглом в тот момент? (они же сейчас ввели свой Мгновенный Поиск, мало ли). Или же мне действительно стоит бояться чего-то, сидящего в системе?

    Да, кстати, там в логах увидите некий Pdf 2 Word - знаю, что троян, но он в этом точно не виноват - в свое время засек его сам, уже давно, но по какой-то причине забыл удалить папку. Он там просто лежал, "обезвреженный и забытый". AVZ вроде как поместил в карантин, так что если надо, этот самый карантин могу прислать, но сам файл, увы, буквально сразу же был удален антивирем.

    Кстати, сейчас в HiJackThis заметил строчку про прокси-сервер. Не знаю, насколько это отражает действительность, но в настройках IE использование прокси не задано (сам проверил только что), кроме того, там для текущего подключения (SkyNet) вообще нет "профиля", если я правильно это понимаю, но для Beeline (иногда использую, когда у провайдера проблемы) есть - вот у него в настройках как раз никакого прокси не прописано.

    Да, и еще - смотрю сейчас сам на лог, WDICA.sys, PDCOMP, PDFRAME, PDRELI, PDRFRAME - это ок? Судя по выдаче гугла, они каким-то боком относятся к неизвестной мне программе Autoruns?.. И в портах time_wait'ы с приложениями [0]. (Хотя после перезагрузки и перезапуска браузера (с большим количеством вкладок, мб в них было дело) их уже нет).
    Последний раз редактировалось FynjyZn; 16.09.2010 в 01:52.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Плохого не увидел.

  4. #3
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    А все же насчет прокси, которого я не прописывал и которого я не вижу в настройках сам, но видит HiJackThis?

  5. #4
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Процитируйте эти строки HiJackThis

  6. #5
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Так вон же, в самом логе:

    R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 194.160.76.5:80

  7. #6
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Пофиксите в hijackthis эту строку

  8. #7
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Сделал. Странно просто, что хоть это и прописано в реестре, в настройках (IE) это никак не отражено, да и 2ip, например, говорит мой настоящий IP-адрес, а не айпи этого прокси.

    Чуть тревожно поэтому, вместе с этими драйверами и блоком страницы, которую я не открывал. Мб мне сделать какой-то специализированный лог?

  9. #8
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Давайте следаем лог МВАМ

  10. #9
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Вот

    Некоторые тревоги точно ложные, но вот 4 каких-то левых параметра в explorer в реестре и system32\lowsec... Хотяя, помнится, в начале января этого года у меня было заражение чем-то вроде sdra64, насколько я помню, эта папка, что называется, "идет в комплекте с ним" - в январе тогда всё успешно излечилось. Дата создания папки, собственно, 9 января 2010 г. и есть. Файл user.ds.lll в ней: 9 создан 9 января 2010 г., 2:46:48, изменен 9 января 2010 г., 2:47:13.
    Последний раз редактировалось FynjyZn; 15.09.2010 в 21:46.

  11. #10
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Удалите в МВАМ -

    Код:
    Зараженные ключи в реестре:
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
    HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
    
    Зараженные параметры в реестре:
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
    
    Объекты реестра заражены:
    HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
    
    Зараженные папки:
    C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
    
    Зараженные файлы:
    C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
    - Повторите лог МВАМ

  12. #11
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Можно только диск C: ? Т.к. на других дисках ничего не найдено (кроме пары ложных тревог на D и G, за которые точно ручаюсь, что ложные или не имеющие к теме отношения, вроде пары кейгенов, к-рых никогда даже не запускал)

  13. #12
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Так там и есть только диск С, один файл, остальное не рубим.

  14. #13
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Не, я имел в виду, сканировать MBAM'ом только C.

  15. #14
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Ок, если только уверены, что там ничего криминального.

  16. #15
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Ну то есть, C и прилагающиеся "системные места" (реестр и т.п.) - впрочем, это и так по умолчанию сканируется. Я имел в виду, отказаться от D, E, F и прочих - всё, что найдено и записано в лог, я "знаю лично" - половина из них - древние демосцены, лежащие там года с 2005-го, пара так и не запущенных в свое время кейгенов и какая-то тоже древняя, еще с прошлого компьютера, программа знакомого.

  17. #16
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Да я понял, отказываемся. Но только это на Вашей совести. Удалять-то будем и лог повторять?

  18. #17
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Удалил, сканируется. Просто это не особо быстро происходит.

  19. #18
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Собственно, вот

  20. #19
    Administrator Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для olejah
    Регистрация
    08.03.2010
    Адрес
    Россия, Краснодар
    Сообщений
    11,760
    Вес репутации
    1296
    Лог чист, что скажете насчёт проблемы?

  21. #20
    Junior Member Репутация
    Регистрация
    09.01.2010
    Сообщений
    51
    Вес репутации
    52
    Ну, никаких блоков левых страниц больше не происходило (тьфу-тьфу), но я прогнал еще раз AVZ - в списке драйверов все так же WDICA, PDCOMP, PDFRAME, PDRELI, PDRFRAME без описаний. Некоторые сайты описывают эти драйвера как малвар (самих файлов на диске нет). Есть упоминания в реестре, а именно HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DCOMP, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DFRAME, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DRELI, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DRFRAME, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W DICA, все пять одинаковые по содержанию - ErrorControl 0, Start 3, Type 1.

    И еще абсолютно такие же ветки в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\P DFRAME и т.п. и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PDFRAME и т.п.

  • Уважаемый(ая) FynjyZn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 3 123 Последняя

    Похожие темы

    1. Вирус заблокировал антивирус
      От NLO в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 16.10.2010, 02:09
    2. вирус заблокировал антивирус нод
      От sasahacaxa в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 20.01.2010, 11:29
    3. Антивирус AVG заблокировал сам себя
      От SDA в разделе Новости компьютерной безопасности
      Ответов: 2
      Последнее сообщение: 01.04.2009, 22:31
    4. Ответов: 2
      Последнее сообщение: 01.04.2009, 22:31
    5. Антивирус от Symantec заблокировал AOL
      От ALEX(XX) в разделе Новости интернет-пространства
      Ответов: 1
      Последнее сообщение: 01.04.2006, 15:18

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00871 seconds with 19 queries