Есть подозрение...

[Postscripter]

Не то чтобы "Помогите! "... Просто не могу разобраться - кто виноват - вирус или виндус? Они так похожи... В общем, появились некоторые странности:

- дважды за неделю в temp-e обнаруживался и удалялся exploit.java.agent.ea,

- ПОСЛЕ воспроизведения в media player classic интернет-потока с сайта mms://live.rfn.ru/orfey/ касперский каждый раз ругается на вредоносный объект по адресу /orfey/ (в отчёте фигурирует также *.google.com.bokae.cn и сам плеер).

Ну и самое интересное... через секунду после запуска прячется (и остаётся висеть в процессах) drWeb CureIT, работающий в режиме усиленной защиты. Будучи запущенным непосредственно из temp-a или в безопасном режиме, ничего не находит. К чему бы это?

[Postscripter]

UP! И тигры у ног моих сели...

Обновил джаву-машину. На всякий случай.
drweb касперский avz autoruns procexp = чисто
RootkitRevealer запускать влом...
Малварбайт нашёл чего-то, но я ему не верю. Прикладываю отчёт и карантин

[thyrex]

Удалите в МВАМ

Код:

Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Visicom Media (Adware.KeenValue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.

[Postscripter]

Ключ userinit.exe пустой... удалил всё равно.
Visicom media - производитель программы AceHTML, которой я пользуюсь постоянно. На кой его удалять? Прикладываю ветку реестра HKEY_CURRENT_USER\Software\Visicom Media

[Postscripter]

Кстати, забыл добавить. Вчера пропал симптом №2 (из первого сообщения). Media player classic перестал (failed to render the file) открывать адрес mms://live.rfn.ru/orfey/ и следолвательно касперский больше не ругается. Воспроизводится поток исключительно через GOM-player, при этом срабатываний не происходит.

Доктор веб по-прежнему прячется в обычном режиме и ничего не находит в безопасном.

[Postscripter]

всё понятно... :вздыхает:

[Postscripter]

Ау... Где же все?

Вот опять сегодня, во время быстрой проверки:

C:\Temp\jar_cache6869250394654908628.tmp/Chat7b77918.class

(Trojan-Downloader/Java/OpenConnection.db)

а также
C:\Temp\jar_cache3212186188025062436.tmp
C:\Temp\jar_cache5634364160136758825.tmp
C:\Temp\jar_cache6869250394654908628.tmp
C:\Temp\jar_cache6986837167738635849.tmp
C:\Temp\jar_cache7001934757699548717.tmp
C:\Temp\jar_cache7276913742875541956.tmp

Неужели здесь нет никого?

Добавлено через 3 минуты

Половина не определяется антивирусом. Высылаю по ссылке вверху.

Добавлено через 3 часа 38 минут

Проверил - вирусы (иногда не детектируемые) появляется при заходе на сайт

хттп://aforizer.com/lego.php?pageid=282&cat=read

При этом касперский блокирует загрузку вредоносного php скрипта

хттп://aa1910dcvs.com/s4/jlfqxsgtcldqkrkmjnh.php

, но джава-машина всё равно запускается с ключом

"C:\Program Files\Java\jre6\bin\java.exe" -D__jvm_launched=31222599858 -Xbootclasspath/a:C:\PROGRA~1\Java\jre6\lib\deploy.jar;C:\PROGRA~1 \Java\jre6\lib\javaws.jar;C:\PROGRA~1\Java\jre6\li b\plugin.jar -Djava.class.path=C:\PROGRA~1\Java\jre6\classes -Dsun.awt.warmup=true sun.plugin2.main.client.PluginMain write_pipe_name=jpi2_pid5288_pipe2,read_pipe_name= jpi2_pid5288_pipe1


И в это же самое время опера предлагает сохранить какой-то pdf файл, вероятно тоже заражённый.

Написал на newvirus, но ответа пока нет. Скажите же наконец, чем меня заразили и как это лечить?

[thyrex]

Кэш Java очистите

[Postscripter]

Да, уже. Всё равно появляется, в частности после захода на вышеупомянутый сайт, который ДО СИХ ПОР отсутствует в базах касперского

Добавлено через 1 минуту

И доктор, который веб, не пашет. Как будто ему по таймеру каждые 2 секeнды делают showwindow(drweb,sw_hide);

Добавлено через 32 минуты

вирус, если таковой и есть, я думаю выполнен в виде dll-ки, подрубающейся к оконным приложениям - если закрыть всё кроме консоли, cureIT работает и не отключается. Потом запускаю проводник - и тоже всё хорошо. Перезагружаю комп - начинается сначала. И пока не будет закрыто последнее окно в систме, DrWeb висит в памяти трупом.

Добавлено через 32 минуты

Запустил rootkit revealer. Насторожило следующее:

HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C0DCEB1F-C04F-0E01-CBFA-251058FE17DB}* 27.02.2010 4:04 0 bytes Key name contains embedded nulls (*)

HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C6FF4DF5-66BB-4299-B1DC-A1E7449176BF}* 15.09.2010 14:17 0 bytes Key name contains embedded nulls (*)

HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{FD5664AD-29B3-B370-258A-A4978A59864F}* 27.02.2010 3:58 0 bytes Key name contains embedded nulls (*)




Пытался прочитать через IceSword, но он моментально выдал синий экран

[Postscripter]

решено

хахаах... Вы когда-нибудь сталкивались с таким - антивирусу мешает работать mail agent... Закрываю - работает, открываю - не работает Накой ему это надо?

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 7
• В ходе лечения обнаружены вредоносные программы:
  
  1. \\новая папка\\jar_cache3212186188025062436.tmp - Exploit.Java.Agent.en ( DrWEB: archive: Java.Siggen.29 )
  2. \\новая папка\\jar_cache5634364160136758825.tmp - Exploit.Java.Agent.en ( DrWEB: archive: Java.Siggen.29 )
  3. \\новая папка\\jar_cache6869250394654908628.tmp - Trojan-Downloader.Java.OpenConnection.bf ( DrWEB: archive: Java.Downloader.127 )
  4. \\новая папка\\jar_cache6986837167738635849.tmp - Trojan-Downloader.Java.OpenStream.ax ( DrWEB: archive: Java.Downloader.125 )
  5. \\новая папка\\jar_cache7001934757699548717.tmp - Trojan-Downloader.Java.OpenStream.ax ( DrWEB: archive: Java.Downloader.125 )
  6. \\новая папка\\jar_cache7276913742875541956.tmp - Trojan-Downloader.Java.OpenConnection.bf ( DrWEB: archive: Java.Downloader.127 )