Баннер

Недавно получил баннер. Сначала его обнаружил Outpost и попросить создать правила для этого приложения. Я понял, что название явно не сулит ничего хорошего, но решил дать однократное разрешение. После этого умер эксплорер, а оутпост снова потребовал правил для приложения, после чего я запретил ему все действия и баннер исчез, а вот эксплорер пришлось перезапускать вручную. В тот же день я проверил полностью компьютер cureIt'ом, nod32 и outpost. Почистил реестр CCleaner'ом, да и дефрагментацию сделал :< Прошло 3 дня и он снова появился. На этот раз я не давал разрешения. Выскочило само окошко с правилами, а спустя 3 минуты появился баннер и умер эксплорер, хотя, как уже сказал, разрешения не давал. Причем (по пути ясно) вирус в папке C:/users/user. Я зашел туда, удалил его :< Он был не невидим.
Мне так смутно кажется, что он ко мне с интернета приходит :< Может в outpost'е поудалять права у всех приложений на доступ к портам ?

p.s Не знаю, влияет ли это на логи, но я дважды запусках hijack и avz (в первый раз без прав администратора.. недоглядел..)
p.p.s Скриншот второго раза, когда он вылез (т.е сегодня). Как видно, я не дал ему прав, хотя он всё равно прибил эксплорер и прикрутил баннер :<
[ATTACH]365234[/ATTACH][ATTACH]365235[/ATTACH][ATTACH]365236[/ATTACH][ATTACH=CONFIG]365237[/ATTACH]

Уважаемый(ая) [B]Александр Цыбин[/B], спасибо за обращение на наш форум!

Удаление вирусов - абсолютно бесплатная услуга на VirusInfo.Info. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

up
p.s Извините, если так нельзя ; (

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]

[QUOTE=thyrex;893329]Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/URL][/QUOTE]
Ничегошеньки похоже ;(

[COLOR="silver"]- - - Updated - - -[/COLOR]

[QUOTE=Александр Цыбин;893365]Ничегошеньки похоже ;([/QUOTE]

up ;(

Логи делались в проблемной учетной записи?

Да. С правами администратора.

192.168.12.1 192.168.13.1 - чьи айпи?

Сейчас баннер активен?

[QUOTE=Techno;893459]192.168.12.1 192.168.13.1 - чьи айпи?[/QUOTE]
Впервые вижу данные ip.

В данный момент банер не активен. Как я и писал о прошлом разе - он попросил доступ, я (в тот раз разрешил однократно, в этот запретил), он убил эксплорер и исчез после полного запрета outpost'а. Я перезапустил эксполрер, а его и след простыл. Было бы это один раз, я бы просто не обратил внимание и подумал, что он самоудалился. Но поймать его же во второй раз при запуске компьютера и первом открытии оперы (во вкладках были лишь проверенные сайты, которые посещаю каждый день. на них ну точно ничего быть не может:?), это меня малость напугало. Вот и думаю, что с внешки лезут. А судя по тому, что мистер Techno указал некоторые ip-адреса, так оно и может быть.

[url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{312FCE73-46B7-40BA-AC8F-2B73D8E106F6}: NameServer = 192.168.12.1 192.168.13.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{312FCE73-46B7-40BA-AC8F-2B73D8E106F6}: NameServer = 192.168.12.1 192.168.13.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{312FCE73-46B7-40BA-AC8F-2B73D8E106F6}: NameServer = 192.168.12.1 192.168.13.1[/CODE]

если после фикса пропадёт интернет, то пропишите вручную DNS которые рекомендует ваш провайдер.

[COLOR="silver"]- - - Updated - - -[/COLOR]

Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url]

[QUOTE=regist;893510][url=http://virusinfo.info/showthread.php?t=4491]Профиксите[/url] в HijackThis

[CODE]O17 - HKLM\System\CCS\Services\Tcpip\..\{312FCE73-46B7-40BA-AC8F-2B73D8E106F6}: NameServer = 192.168.12.1 192.168.13.1
O17 - HKLM\System\CS1\Services\Tcpip\..\{312FCE73-46B7-40BA-AC8F-2B73D8E106F6}: NameServer = 192.168.12.1 192.168.13.1
O17 - HKLM\System\CS2\Services\Tcpip\..\{312FCE73-46B7-40BA-AC8F-2B73D8E106F6}: NameServer = 192.168.12.1 192.168.13.1[/CODE]

если после фикса пропадёт интернет, то пропишите вручную DNS которые рекомендует ваш провайдер.

[COLOR="silver"]- - - Updated - - -[/COLOR]

Сделайте [url=http://virusinfo.info/showthread.php?t=115256]логи RSIT.[/url][/QUOTE]
Не знаю, важно ли, но интернет не пропадал.

Выполните скрипт в AVZ при наличии доступа в интернет:

[CODE]begin
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then DeleteFile('log\avz_log.txt');
If DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', GetAVZDirectory +'ScanVuln.txt') Then ExecuteScript('ScanVuln.txt')
Else ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
if FileExists(GetAVZDirectory + 'log\avz_log.txt') Then ExecuteFile('notepad.exe', GetAVZDirectory + 'log\avz_log.txt', 1, 0, false);
ExitAVZ;
end.[/CODE]

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.

"Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!" - написало и закрылось.
Насчет программ, вы имели ввиду, что я нужно скачать свежие версии оных?

[quote]"Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!" - написало и закрылось.[/quote]

Откройте файл [url=http://df.ru/~kad/ScanVuln.txt][B]ScanVuln.txt[/B][/url]. Выполните из этого файла скрипт в AVZ (выделите всё и скопируйте в AVZ). В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

Устранены. Что ж, осталось подождать - появится снова или нет