enewsletterpro.exe - Trojan.Win32.StartPage.aha
kl.exe - Trojan-Spy.Win32.Agent.jl
tool2.exe - Hoax.Win32.Renos.an
tool3.exe - Packed.Win32.Klone.b (Trojan.Galapoper)
Между делом я бы посоветовал поставить другой антивирус.
Printable View
enewsletterpro.exe - Trojan.Win32.StartPage.aha
kl.exe - Trojan-Spy.Win32.Agent.jl
tool2.exe - Hoax.Win32.Renos.an
tool3.exe - Packed.Win32.Klone.b (Trojan.Galapoper)
Между делом я бы посоветовал поставить другой антивирус.
Под снос их?
Между делом, я бы послушал. ?
msctl32.dll - SpamTool.Win32.Mailbot.s
dqsynth.dll и компания - AdWare.Win32.Look2Me.ab
[QUOTE=ulet]Под снос их?
Между делом, я бы послушал. ?[/QUOTE]
КОнечно под снос. Я бы поставил временно бету КАВ2006. Можно взять на форуме [url]http://forum.kaspersky.com/index.php?showforum=15[/url] она и Look2Me снесёт и остальное. А потом можно будет сменить на что-то другое т.к. бетка иногда глючит
От KAV у меня не очень хорошие воспоминания, но спасибо попробую.
[QUOTE=ulet]От KAV у меня не очень хорошие воспоминания, но спасибо попробую.[/QUOTE]
Хотя бы временно полечить комп. Я проверял, он знает всё что прислано. А многие другие антивирусы далеко не всё.
Да уж согласен, NAV вчера обновил, а он ничерта не видит. Хотя судя по ссылкам в инете тому же Look2Me уже год.
Ладно утро вечера мудренее, продолжу ковыряние.
[QUOTE=ulet]Да уж согласен, NAV вчера обновил, а он ничерта не видит. Хотя судя по ссылкам в инете тому же Look2Me уже год.
Ладно утро вечера мудренее, продолжу ковыряние.[/QUOTE]
NAV выкинуть. а Look2Me - это целое семейство, которое постоянно обновляется и совершенствуется.
По поводу KAV. Он потом следов то не оставит?
AVZ мышиный драйвер определяет как 99% кейлодер. ?
А на что ещё (из полезного) он делает стойку.
[QUOTE=ulet]По поводу KAV. Он потом следов то не оставит?
AVZ мышиный драйвер определяет как 99% кейлодер. ?
[/QUOTE]
пришлите этот файл по уже известному адресу - стойку делать перестанет.
[QUOTE=ulet]По поводу KAV. Он потом следов то не оставит?[/QUOTE]
Последний раз когда смотрел он деинсталировался без проблем.
Yo, Cool, Rules Я начинаю менять отношение к KAV. Какой он шустрый стал. Багов правда до чёрта. Look2Me снёс вчистую и всё что выше перечислено. Завтра посмотрю логи.
[QUOTE=SDA]RiC, а 5 Каспер про эту дрянь не ловит (у меня Workstations)?[/QUOTE]
Только если сможет перехватить в момент установки, вытащить уже "засевшую" не может.
[QUOTE=Geser]msctl32.dll - SpamTool.Win32.Mailbot.s[/QUOTE]
Значит ещё C:\WINDOWS\system32\drivers\i386p.sys должен сидеть по соседству, его тоже в мусорку.
[quote=RiC]
Значит ещё C:\WINDOWS\system32\drivers\i386p.sys должен сидеть по соседству, его тоже в мусорку.[/quote]
да, есть там такой. я только написать забыл. все равно запрошенные мной файлы никто не ищет ;(
[QUOTE]запрошенные мной файлы никто не ищет ;([/QUOTE]
Неправда ваша, что просили и что нашёл, то отослал, на [url]http://www.virusinfo.info/index.php?page=upload_clean[/url]. Это у вас почта непроходит.
После KAV i386.sys, я думаю присылать бессмысленно.
Сегодня попробую прислать мышиный драйвер, на который у AVZ была стойка. Имя архива "Genius".
Подробный отчёт о результатах чуть позже.
[QUOTE=ulet]Неправда ваша, что просили и что нашёл, то отослал, на [url]http://www.virusinfo.info/index.php?page=upload_clean[/url]. Это у вас почта непроходит.
[/QUOTE]
давайте проголосуем - кто из присутствующих видел присланные файлы?
На почту пришло 2 архива
[QUOTE=Geser]На почту пришло 2 архива[/QUOTE]
первый пришел сразу после появления темы, во втором были файлы созданные в текущий день (по твоему запросу). файлы из моего перечня (ни один) не приходили, хотя наверняка должны быть. хотя бы winlogon.exe :-)
Значит так. XP SP2 IE6 установлена 28.12.05!!!
Видимые симптомы у больного были такие: При выходе в интернет, спонтанно появлялись флешбанеры со всякой байдой, периодичностью примерно пять минут. Стартовая страница поменялась на Secure32.html. В корневой директории C:\ появились несколько новых файлов.
Лечение:
Обработан Ad-Aware pro 6.181. Найдено в реестре 41 изменение с предупреждением "атака на браузер"
HLM\Software\Microsoft\Internet Explorer\Main значение SearchAssistant
HLM\Software\Microsoft\Internet Explorer\Search значение SearchAssistant
HCU\Software\Microsoft\Internet Explorer\Main значения Search Page, Search Bar, Default_Search_URL
Найдены 2 объекта в C:\WINDOWS\system32\drivers\etc\hosts тип Hosts file
Удалены.
Обработан NAV. Найдены и частично помещены в карантин:
Trojan-Downloader.Win32.Adload.j
AdWare.Win32.Zestyfind
AdWare.Win32.Look2Me.ab
Удалены частично:
Trojan.Win32.Harnig.a
Hoax.Win32.Renos.an
Trojan.Win32.StartPage.aha
Trojan-Spy.Win32.Agent.jl
Packed.Win32.Klone.b
Вручную в т.ч. с использованием AVZ, Spybot - Search & Destroy, были удалены (заблокированы) ещё ряд подозрительных файлов (большой список), подчищен реестр, на основные адреса включена блокировка.
Результаты есть но неочевидные.
AVZ определил драйвер мыши как кейлодер!?
Обработан KAV2006beta.
Найдены все вышеперечисленные и:
SpamTool.Win32.Mailbot.s
Trojan-Downloader.Win32.PassAlert.i
Удалены все части и ключи обнаруженных, почищен реестр.
Кроме того в сносе остались:
Настройки рабочего стола,
Некоторые архивы повреждены,
Мышиный драйвер, (установлен стандартный Windows, драйвер с установочной дискеты не вызвал эмоций у KAV)
Настройки IE,(частично)
Полностью удалены кукисы,
Изменены свойства соеденения, (незначительно)
Изменены настройки некоторых программ (незначительно, скорее всего поставлены в default)
Вероятно список неполон
Более подробно о проблеммах KAV, я напишу разработчикам.
После KAV проверка AVZ показала (впрочем как и до KAV):
READMEICON.htm - PE файл с нестандартным расширением
Macromedia_Dreamweaver_8.exe - Подозрение на Virus.Win32.PE_Type1
NewShortcut4_D51534F2D70441A69D49A518D2760027.htm - PE файл с нестандартным расширением.
Мышь, с заново установленными драйверами, переслала быть кейлодером (вероятно первоначальный драйвер был заражён)
В общем любое лекарство имеет свою горечь.
Вывод: Лучше надеть презерватив, чем через неделю есть пилюли.
Спасибо за поддержку.
PS: Не злитесь. Архивы сегодня пришлю повторно.
[QUOTE=ulet]
Удалены все части и ключи обнаруженных, почищен реестр.
[/QUOTE]
в реестре, кстати, мусорок остался.
такой еще вопрос возник - сайт [url]www.apeha.ru[/url] сами в избранное ставили?
[QUOTE=ulet]
После KAV проверка AVZ показала (впрочем как и до KAV):
READMEICON.htm - PE файл с нестандартным расширением
[/QUOTE]
остаток от инсталляции
[QUOTE=ulet]
Macromedia_Dreamweaver_8.exe - Подозрение на Virus.Win32.PE_Type1
[/QUOTE]
желательно прислать на [email][email protected][/email] для анализа
[QUOTE=ulet]
PS: Не злитесь. Архивы сегодня пришлю повторно.[/QUOTE]
мы не злимся. просто представьте себе такую ситуацию в медицине: врач просит принести анализы, а ему показывают пустую баночку. ну и как тут лечить?
кстати, судя по логам AVZ, файл
C:\WINDOWS\system32\drivers\i386p.sys
все еще в наличии...