-
Junior Member
- Вес репутации
- 53
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 53
UP! И тигры у ног моих сели...
Обновил джаву-машину. На всякий случай.
drweb касперский avz autoruns procexp = чисто
RootkitRevealer запускать влом...
Малварбайт нашёл чего-то, но я ему не верю. Прикладываю отчёт и карантин
-
Удалите в МВАМ
Код:
Зараженные ключи в реестре:
HKEY_CURRENT_USER\Software\Visicom Media (Adware.KeenValue) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Userinit.exe (Security.Hijack) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Ключ userinit.exe пустой... удалил всё равно.
Visicom media - производитель программы AceHTML, которой я пользуюсь постоянно. На кой его удалять? Прикладываю ветку реестра HKEY_CURRENT_USER\Software\Visicom Media
-
Junior Member
- Вес репутации
- 53
Кстати, забыл добавить. Вчера пропал симптом №2 (из первого сообщения). Media player classic перестал (failed to render the file) открывать адрес mms://live.rfn.ru/orfey/ и следолвательно касперский больше не ругается. Воспроизводится поток исключительно через GOM-player, при этом срабатываний не происходит.
Доктор веб по-прежнему прячется в обычном режиме и ничего не находит в безопасном.
-
Junior Member
- Вес репутации
- 53
всё понятно... :вздыхает:
-
Junior Member
- Вес репутации
- 53
Ау... Где же все?
Вот опять сегодня, во время быстрой проверки:
C:\Temp\jar_cache6869250394654908628.tmp/Chat7b77918.class
(Trojan-Downloader/Java/OpenConnection.db)
а также
C:\Temp\jar_cache3212186188025062436.tmp
C:\Temp\jar_cache5634364160136758825.tmp
C:\Temp\jar_cache6869250394654908628.tmp
C:\Temp\jar_cache6986837167738635849.tmp
C:\Temp\jar_cache7001934757699548717.tmp
C:\Temp\jar_cache7276913742875541956.tmp
Неужели здесь нет никого?
Добавлено через 3 минуты
Половина не определяется антивирусом. Высылаю по ссылке вверху.
Добавлено через 3 часа 38 минут
Проверил - вирусы (иногда не детектируемые) появляется при заходе на сайт
хттп://aforizer.com/lego.php?pageid=282&cat=read
При этом касперский блокирует загрузку вредоносного php скрипта
хттп://aa1910dcvs.com/s4/jlfqxsgtcldqkrkmjnh.php
, но джава-машина всё равно запускается с ключом
"C:\Program Files\Java\jre6\bin\java.exe" -D__jvm_launched=31222599858 -Xbootclasspath/a:C:\PROGRA~1\Java\jre6\lib\deploy.jar;C:\PROGRA~1 \Java\jre6\lib\javaws.jar;C:\PROGRA~1\Java\jre6\li b\plugin.jar -Djava.class.path=C:\PROGRA~1\Java\jre6\classes -Dsun.awt.warmup=true sun.plugin2.main.client.PluginMain write_pipe_name=jpi2_pid5288_pipe2,read_pipe_name= jpi2_pid5288_pipe1
И в это же самое время опера предлагает сохранить какой-то pdf файл, вероятно тоже заражённый.
Написал на newvirus, но ответа пока нет. Скажите же наконец, чем меня заразили и как это лечить?
Последний раз редактировалось Postscripter; 21.10.2010 в 18:58.
Причина: Добавлено
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 53
Да, уже. Всё равно появляется, в частности после захода на вышеупомянутый сайт, который ДО СИХ ПОР отсутствует в базах касперского
Добавлено через 1 минуту
И доктор, который веб, не пашет. Как будто ему по таймеру каждые 2 секeнды делают showwindow(drweb,sw_hide);
Добавлено через 32 минуты
вирус, если таковой и есть, я думаю выполнен в виде dll-ки, подрубающейся к оконным приложениям - если закрыть всё кроме консоли, cureIT работает и не отключается. Потом запускаю проводник - и тоже всё хорошо. Перезагружаю комп - начинается сначала. И пока не будет закрыто последнее окно в систме, DrWeb висит в памяти трупом.
Добавлено через 32 минуты
Запустил rootkit revealer. Насторожило следующее:
HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C0DCEB1F-C04F-0E01-CBFA-251058FE17DB}* 27.02.2010 4:04 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{C6FF4DF5-66BB-4299-B1DC-A1E7449176BF}* 15.09.2010 14:17 0 bytes Key name contains embedded nulls (*)
HKU\S-1-5-21-1993962763-1078081533-839522115-1003\Software\Microsoft\Windows\CurrentVersion\She ll Extensions\Approved\{FD5664AD-29B3-B370-258A-A4978A59864F}* 27.02.2010 3:58 0 bytes Key name contains embedded nulls (*)
Пытался прочитать через IceSword, но он моментально выдал синий экран
Последний раз редактировалось Postscripter; 22.10.2010 в 22:56.
Причина: Добавлено
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- \\новая папка\\jar_cache3212186188025062436.tmp - Exploit.Java.Agent.en ( DrWEB: archive: Java.Siggen.29 )
- \\новая папка\\jar_cache5634364160136758825.tmp - Exploit.Java.Agent.en ( DrWEB: archive: Java.Siggen.29 )
- \\новая папка\\jar_cache6869250394654908628.tmp - Trojan-Downloader.Java.OpenConnection.bf ( DrWEB: archive: Java.Downloader.127 )
- \\новая папка\\jar_cache6986837167738635849.tmp - Trojan-Downloader.Java.OpenStream.ax ( DrWEB: archive: Java.Downloader.125 )
- \\новая папка\\jar_cache7001934757699548717.tmp - Trojan-Downloader.Java.OpenStream.ax ( DrWEB: archive: Java.Downloader.125 )
- \\новая папка\\jar_cache7276913742875541956.tmp - Trojan-Downloader.Java.OpenConnection.bf ( DrWEB: archive: Java.Downloader.127 )
-