-
Junior Member
- Вес репутации
- 52
Антивирус заблокировал некую страницу, которую я не открывал
Здравствуйте,
Вообще говоря, проверка моя больше профилактическая, т.к. никаких проявлений чего-то непосредственно зловредного не наблюдается, но для успокоения совести, как говорится... С полчаса назад работал в интернете, вкладки были все проверенные, никаких "левых" сайтов; кажется, помню, что начал искать что-то в Гугле и, пока страница грузилась, переключился на чтение другой вкладки. Через несколько секунд AVG мне выдал окно (см. скриншот). Твиттером я пользуюсь, да, но этот адрес вижу впервые, и уж тем более у меня такой вкладки открыто не было. Что это? Кусок чего-то из содержимого, найденного Гуглом в тот момент? (они же сейчас ввели свой Мгновенный Поиск, мало ли). Или же мне действительно стоит бояться чего-то, сидящего в системе?
Да, кстати, там в логах увидите некий Pdf 2 Word - знаю, что троян, но он в этом точно не виноват - в свое время засек его сам, уже давно, но по какой-то причине забыл удалить папку. Он там просто лежал, "обезвреженный и забытый". AVZ вроде как поместил в карантин, так что если надо, этот самый карантин могу прислать, но сам файл, увы, буквально сразу же был удален антивирем.
Кстати, сейчас в HiJackThis заметил строчку про прокси-сервер. Не знаю, насколько это отражает действительность, но в настройках IE использование прокси не задано (сам проверил только что), кроме того, там для текущего подключения (SkyNet) вообще нет "профиля", если я правильно это понимаю, но для Beeline (иногда использую, когда у провайдера проблемы) есть - вот у него в настройках как раз никакого прокси не прописано.
Да, и еще - смотрю сейчас сам на лог, WDICA.sys, PDCOMP, PDFRAME, PDRELI, PDRFRAME - это ок? Судя по выдаче гугла, они каким-то боком относятся к неизвестной мне программе Autoruns?.. И в портах time_wait'ы с приложениями [0]. (Хотя после перезагрузки и перезапуска браузера (с большим количеством вкладок, мб в них было дело) их уже нет).
Последний раз редактировалось FynjyZn; 16.09.2010 в 01:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
-
-
Junior Member
- Вес репутации
- 52
А все же насчет прокси, которого я не прописывал и которого я не вижу в настройках сам, но видит HiJackThis?
-
Процитируйте эти строки HiJackThis
-
-
Junior Member
- Вес репутации
- 52
Так вон же, в самом логе:
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyServer = 194.160.76.5:80
-
-
-
Junior Member
- Вес репутации
- 52
Сделал. Странно просто, что хоть это и прописано в реестре, в настройках (IE) это никак не отражено, да и 2ip, например, говорит мой настоящий IP-адрес, а не айпи этого прокси.
Чуть тревожно поэтому, вместе с этими драйверами и блоком страницы, которую я не открывал. Мб мне сделать какой-то специализированный лог?
-
-
-
Junior Member
- Вес репутации
- 52
Вот
Некоторые тревоги точно ложные, но вот 4 каких-то левых параметра в explorer в реестре и system32\lowsec... Хотяя, помнится, в начале января этого года у меня было заражение чем-то вроде sdra64, насколько я помню, эта папка, что называется, "идет в комплекте с ним" - в январе тогда всё успешно излечилось. Дата создания папки, собственно, 9 января 2010 г. и есть. Файл user.ds.lll в ней: 9 создан 9 января 2010 г., 2:46:48, изменен 9 января 2010 г., 2:47:13.
Последний раз редактировалось FynjyZn; 15.09.2010 в 21:46.
-
Удалите в МВАМ -
Код:
Зараженные ключи в реестре:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Объекты реестра заражены:
HKEY_CLASSES_ROOT\regfile\shell\open\command\(default) (Broken.OpenCommand) -> Bad: ("regedit.exe" "%1") Good: (regedit.exe "%1") -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
Зараженные файлы:
C:\WINDOWS\system32\lowsec\user.ds.lll (Stolen.data) -> No action taken.
- Повторите лог МВАМ
-
-
Junior Member
- Вес репутации
- 52
Можно только диск C: ? Т.к. на других дисках ничего не найдено (кроме пары ложных тревог на D и G, за которые точно ручаюсь, что ложные или не имеющие к теме отношения, вроде пары кейгенов, к-рых никогда даже не запускал)
-
Так там и есть только диск С, один файл, остальное не рубим.
-
-
Junior Member
- Вес репутации
- 52
Не, я имел в виду, сканировать MBAM'ом только C.
-
Ок, если только уверены, что там ничего криминального.
-
-
Junior Member
- Вес репутации
- 52
Ну то есть, C и прилагающиеся "системные места" (реестр и т.п.) - впрочем, это и так по умолчанию сканируется. Я имел в виду, отказаться от D, E, F и прочих - всё, что найдено и записано в лог, я "знаю лично" - половина из них - древние демосцены, лежащие там года с 2005-го, пара так и не запущенных в свое время кейгенов и какая-то тоже древняя, еще с прошлого компьютера, программа знакомого.
-
Да я понял, отказываемся. Но только это на Вашей совести. Удалять-то будем и лог повторять?
-
-
Junior Member
- Вес репутации
- 52
Удалил, сканируется. Просто это не особо быстро происходит.
-
Junior Member
- Вес репутации
- 52
-
Лог чист, что скажете насчёт проблемы?
-
-
Junior Member
- Вес репутации
- 52
Ну, никаких блоков левых страниц больше не происходило (тьфу-тьфу), но я прогнал еще раз AVZ - в списке драйверов все так же WDICA, PDCOMP, PDFRAME, PDRELI, PDRFRAME без описаний. Некоторые сайты описывают эти драйвера как малвар (самих файлов на диске нет). Есть упоминания в реестре, а именно HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DCOMP, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DFRAME, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DRELI, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\P DRFRAME, HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\W DICA, все пять одинаковые по содержанию - ErrorControl 0, Start 3, Type 1.
И еще абсолютно такие же ветки в HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\P DFRAME и т.п. и HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\PDFRAME и т.п.