Проверьте пожалуйста файлик

[WhiteWolf]

QuarantineFile('C:\WINDOWS\urrsqp.dll','');

Что с этим файлом?

[PavelA]

Итог с jotti

Scan taken on 28 Apr 2007 10:06:22 (GMT)
A-Squared Found nothing
AntiVir Found TR/PCK.Klone.K.22
ArcaVir Found Trojan.Packed.Klone.K
Avast Found nothing
AVG Antivirus Found Generic3.VJA
BitDefender Found Trojan.BHO.AW
ClamAV Found nothing
Dr.Web Found BackDoor.Iterator
F-Prot Antivirus Found nothing
F-Secure Anti-Virus Found Packed.Win32.Klone.k
Fortinet Found nothing
Kaspersky Anti-Virus Found Packed.Win32.Klone.k
NOD32 Found nothing
Norman Virus Control Found W32/Suspicious_U.gen
Panda Antivirus Found Trj/Downloader.OCJ
Rising Antivirus Found nothing
VirusBuster Found Packed/Upack
VBA32 Found nothing

Скриптик для удаления.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\urrsqp.dll');
RebootWindows(true);
end.

После исполнения логи в студию, тьфу, в тему.

[WhiteWolf]

Выполнено. При перезагрузке проявилась ошибка - "Ошибка загрузки - не найден путь". В логе есть строчка с этим файлом. Так понимаю - надо пофиксить?

[Bratez]

Пофиксите это:

Код:

O4 - HKLM\..\Run: [InfoData] rundll32.exe "C:\WINDOWS\urrsqp.dll",realset
O20 - AppInit_DLLs:

[WhiteWolf]

Порядок. Комп ведет себя совсем иначе.

Большое спасибо за оказанную помощь и за проявленное терпение!

Логи из темы можно удалить?

[WhiteWolf]

Извиняюсь. Еще не все.
Поставил BitDefender 10
При сканировании обнаружилось: Trojan.Horse.Pws.Ldpinch.DQY

каждый раз после перезагрузки находится снова. Как прибить? откуда корни? В яндексе по запросу "Trojan.Horse.Pws.Ldpinch.DQY" 4 ссылки с аналогичными ситуациями. И вирус ли это? кто-то обращался в службу поддержки майл.ру - ему посоветовали отключить антивирус. Файлы могу выслать.

[Rene-gad]

@WhiteWolf
Выполните скрипт

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Documents and Settings\Dmitry\Application Data\Mra\Update\menu.dll' );
 DeleteFile('C:\Documents and Settings\Dmitry\Application Data\Mra\Update\menu_1.dll' );
RebootWindows(true);
end.

После перезагрузки закачайте новые логи по правилам.
Попробуйте просканировать ПК Bitdefender ом в безопасном модусе.

[WhiteWolf]

Спасибо. Сейчас сделаю.
Логи категорически по правилам? Даже антивирусные отчеты?

[WhiteWolf]

Rene-gad, Белый Волк конечно собака, более того, собака серая , а у вас молоко убежало и Вы, наверное, его ловить убегали, потому как закрывающих одиночных кавычек в текстовом параметре нет.

[Rene-gad]

потому как закрывающих одиночных кавычек в текстовом параметре нет.

Oops! Сорри, я не хотел Вам сделать бяку. Спасибо! А с кавычками получилось?

[drongo]

А зачем сразу убивать? надо бы сначала закарантинить для исследования

[WhiteWolf]

Никакой бяки. Есть кнопучка "проверить синтаксис" и немного понимания о програмизме. Файлики и не убилися. Вернее убилися - но постоянно выходят в рейнкарнацию без модификаций. С тем же именем. Восстановление системы отключено. Всплывает переодически варнинг от BitDefender'а с ругательством на эту пару файлов.
Дефендер в защищенном режиме не загрузился, в его папке отсутствуют ЕХЕ файлы отвечающие за загрузку сервисов Дефендера. Где делись - не пойму. В стандартном режиме все грузится и работает, хотя файлов в папке установки дефендера по прежнему нет. Разбираюсь.
Логи HijackThis прилагаются. Смущает строка:

1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://216.95.196.22/dc/20371783/461...176712801.html

судя по всему - доменного имени соответствующего этому ip нет. сам ip находится в Канаде. по информации NIC.RU:
-------------------------------------------------------------------------
OrgName: MCI Communications Services, Inc. d/b/a Verizon Business
OrgID: MCICS
Address: 22001 Loudoun County Pkwy
City: Ashburn
StateProv: VA
PostalCode: 20147
Country: US

NetRange: 216.94.0.0 - 216.95.255.255
CIDR: 216.94.0.0/15
NetName: UUNETCA6-A
NetHandle: NET-216-94-0-0-1
Parent: NET-216-0-0-0-0
NetType: Direct Allocation
NameServer: NS.UUNET.CA
NameServer: NS2.UUNET.CA
NameServer: AUTH01.NS.UU.NET
Comment:
RegDate:
Updated: 2006-12-14
---------------------------------------------------------------------
Типа тамошний провайдер. Я так понимаю.

Файлики от М.агента с подозрением на вирус - отправлю чуть позже.

[WhiteWolf]

Пока выковыривал файлики из карантина, нашел куда делись файлы в BitDefender. Вместо штатного места валяются в Common files. В защищенном режиме не пробовал перегружаться и запускать.
Подозрительные файлики отправил.

Файл сохранён как 070503_182528_Update_4639f0d82147f.zip
Размер файла 33384
MD5 432ae88737dcf9efea3c7b4391346560

Update по имени папки в которой лежало. см. пред лог от дефендера. Два файла с одинаковым размером. Судя по всему - одно и тоже но разные чуток названия.

Вопрос остается - что делать: забить, сменить антивир(может быть ложное срабатывание?), перестать пользоваться агентом.

[PavelA]

Файлики то проверим, но интересно откуда ноги растут. Где их вы нашли?

Наверное, все-таки сделать логи, так на всякий случай

[WhiteWolf]

Логи, похоже благодаря дефендеру, благополучно не загрузились. Исправил пост выше. добавил лог. Что за скрипт у вас для загрузки логов, что только при отключении "стенки", монитора и скрипт чекера удалось прогрузить через дефендер?

[WhiteWolf]

Извиняюсь. Еще не все.
Поставил BitDefender 10
При сканировании обнаружилось: Trojan.Horse.Pws.Ldpinch.DQY

каждый раз после перезагрузки находится снова. Как прибить? откуда корни? В яндексе по запросу "Trojan.Horse.Pws.Ldpinch.DQY" 4 ссылки с аналогичными ситуациями. И вирус ли это? кто-то обращался в службу поддержки майл.ру - ему посоветовали отключить антивирус. Файлы могу выслать.

Нашел вот после этого

[PavelA]

Итог по menu.dll с virustotal

Код:

BitDefender 7.2 05.03.2007 Trojan.Horse.Pws.Ldpinch.DQY 
CAT-QuickHeal 9.00 05.03.2007  no virus found 
ClamAV devel-20070416 05.03.2007  no virus found 
DrWeb 4.33 05.03.2007  no virus found 
eSafe 7.0.15.0 05.03.2007  no virus found 
eTrust-Vet 30.7.3612 05.03.2007  no virus found 
Ewido 4.0 05.03.2007  no virus found 
FileAdvisor 1 05.03.2007  No threat detected 
Fortinet 2.85.0.0 05.03.2007 W32/Lineage.ACN!tr.pws 
F-Prot 4.3.2.48 05.02.2007  no virus found 
F-Secure 6.70.13030.0 05.03.2007 W32/LdPinch.IYH 
Ikarus T3.1.1.7 05.03.2007 Trojan.Horse.Pws.Ldpinch.DQY 
Kaspersky 4.0.2.24 05.03.2007  no virus found 
McAfee 5022 05.02.2007  no virus found 
Microsoft 1.2503 05.03.2007  no virus found 
NOD32v2 2236 05.03.2007  no virus found 
Norman 5.80.02 05.02.2007 W32/LdPinch.IYH 
Panda 9.0.0.4 05.03.2007 Suspicious file

Новый вариант "пинча". К завтрашнему дню скорее всего добавиться к Касперскому.

Придется Вам все свои пароли менять.
Можно воспользоваться скриптом для удаления этого добра, только в защищенном режиме.

[WhiteWolf]

А строчка из лога - с ней что делать?
Пинч - что есть такое? Мелкая зубастая собаченка Пинчер тырящая пароли?
пароли - все все или только те, которые набивались, или те, которые копипастились?. А уважемый Касперский случайно утилитки не сделает для вычищания этой пакости? оно постоянно в папке обновления майл ру агента появляется. откуда - никак не пойму. Возможно оно само его засасывает. Завтра логи прокси посмотрю внимательно. может что накопаю.

Блин. Страшно за комп садиться... Нужен мощный выжигатель, выжигать всякую заразу...

впору задуматься об установке в качестве внешнего шлюза ось семейства BSD и ручками понастраивать стенку и мониторинг с перебросом дампов трафика куда-нибудь по каким нить нетипичным признакам....

добавление
в агенте автоапдет не отключается. я такую галку не нашел.

[WhiteWolf]

Такой вопрос: может этот файлик на самом деле нужен? Ведь агент позволяет при запуске сквозняком регистриться на майл ру. Может как раз это его свойство опознается как врусная активность?

Такс, через 20 минут до дому. хватит. В конце концов у меня сеня день варенья.......

[PavelA]

В принципе, конечно, есть вариант, что это просто приблуда для передачи паролей майл-агенту.

З.Ы.У меня через 2 дня, но как-то не радует. Я в смысле день варенья.