В моем случае я брал DVDConv.exe он и описан в блоге, но смысла это не меняет...
Printable View
В моем случае я брал DVDConv.exe он и описан в блоге, но смысла это не меняет...
а где почитать можно? :)
---
Ой, увидел ссылу наконец то :D
Удалось запустить нормально gmer и mba, вроде всё убилось. Наверно ещё придётся на всякий случай просканить sfc. Одного только не понял, в систему должны были загрузить фальшивый антивирус, почему этого не произошло? Я ведь долго ждал :)
[QUOTE]в систему должны были загрузить фальшивый антивирус[/QUOTE]
Я не застал этого момента, нужно было подождать, чтобы довнлоадер отработал...
[QUOTE=valho;420417]ТЕМP запускается планировщиком, ещё заметил что у спулера потребление памяти в 10 раз больше, адреса при просмотре HijackThis прописались домена trusted-dns.com, это мошеннический сайт. Похоже что один находится в Латвии другой в Украине. HijackThis запустился только преименованным и с другим расширением. Хе, MBA тоже не запускается, AVZ ничего не показал. Посмотрел логи gmer нашёл какие то модули aujasnkj.sys в темпе [URL]http://forum.drweb.com/index.php?showtopic=278404[/URL].
Заметил ещё что диск C:\ монтирован 01.01.1601 года в 4 часа утра :)
Теперь думаю как это всё исправлять[/QUOTE]
Планировщик - это "svchost.exe", а "spoolsv.exe" - подсистема печати (спулер/Диспетчер очереди печати). Т.е. как я понял, из скрытого драйвера идет внедрение в процесс "spoolsv.exe" кода, запускающего TEMP. Однако же и в планировщике TEMP тоже прописан. Кстати, при запуске инсталлятора выводится лицензионное соглашение. :) Также имеется деинсталлятор, однако он удаляет лишь ярлык на фиктивную программу. Вирус остается.
[size="1"][color="#666686"][B][I]Добавлено через 22 минуты[/I][/B][/color][/size]
Утилита eSagelab задала вопрос про какой-то "flag" - нажал Да, теперь висит "Запуск Windows"...
Поставил бяку снова, сижу смотрю чё будут грузить, пока идут соединения по HTTP на opatraler.com
[size="1"][color="#666686"][B][I]Добавлено через 55 минут[/I][/B][/color][/size]
В планировщике заданий установлено скрытно задание
[url]http://www.virustotal.com/ru/analisis/b880c0247bd67642cf468b7b24f08485a10df8f0ac9b3a8f4b467d2cf5a5a902-1245590012[/url]
[URL=http://img19.imageshack.us/img19/2502/tasksi.jpg/][IMG]http://img19.imageshack.us/img19/2502/tasksi.th.jpg[/IMG][/URL]
переписывал его в другую папку, делал её видимой, потом снова на место ставил и он снова прятался :unknw:
_http://coolyoutubeproxy.com/promo
[size="1"][color="#666686"][B][I]Добавлено через 53 минуты[/I][/B][/color][/size]
[url]http://www.virustotal.com/analisis/33ebd3e3a18c2ad07063d975dfbe4670b0052c4a90524c74b073a57dc749984d-1245653667[/url]
[url]http://www.virustotal.com/analisis/46b6a7f30dba9c4b2d14b3daf23681b7bd3fdfb7b17aa8102562020617406966-1245656404[/url]
[url]http://www.virustotal.com/analisis/d0ac21de0f70a9fa8198acd6188c81d41cb6b6ab2244aa75e9ee5e3ab0c3168c-1245656556[/url]
:http:msk-ru.ru/download.php?fid=kc1ep8j150fe7via.zip
Извините, если не в той теме... это рассылают Вконтакте
Результат доктор веб [url]http://online.us.drweb.com/cache/?i=73eb33c47715a2961f4d8fac5da81d30[/url]
У АВ Касперского есть такая запись в базах? А то как-то скачивать не хочется
Если можно, дайте ссылку на ВТ, спасибо!
Знает
[url]http://www.virustotal.com/analisis/035ef30d07fa6b74cee81b494493349f1bec2e2860dfe033c6086d72dc260cde-1245692360[/url]
Да почти все знают! Спасибо!
[QUOTE=Venus Doom;421199]:http:msk-ru.ru/download.php?fid=kc1ep8j150fe7via.zip
Извините, если не в той теме... это рассылают Вконтакте
Результат доктор веб [url]http://online.us.drweb.com/cache/?i=73eb33c47715a2961f4d8fac5da81d30[/url]
У АВ Касперского есть такая запись в базах? А то как-то скачивать не хочется
Если можно, дайте ссылку на ВТ, спасибо![/QUOTE]
Что же он делает? И что скажете про "coolyoutubeproxy"?
:http:wapres.ru/wup2/uploads/files/por.jar
"Крутой новый Jimm для мобильника"[/B]
Доктор веб: [URL]http://online.us.drweb.com/cache/?i=69c1d61668caa89ab8487008bd07134d[/URL]
Это рассылают по аське довольно часто...
Кстати, о вирусе, напавшем на "spoolsv.exe".
Вот о нем вроде:
[url]http://forum.drweb.com/index.php?showtopic=280870[/url]
На второй странице такие же иконки.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
_http://wap.jaff.ru/files/Anonim_SMS.jar
poshalim.name
Вот обсуждение [url]http://ruadult.biz/f8/kak-eto-nazvatue-2407/[/url]
Не закрываемое окно!
novalexfinance.com
Хайп, подписан Comodo и застрахован на 1000000$, уже видел здесь тему про хайпы [url]http://virusinfo.info/showpost.php?p=221062&postcount=9[/url]
В нагрузку того что они ещё подписывают магазины где продают фальшивые антивирусы, всё больше и больше пропадает желание пользоваться их продуктами
[size="1"][color="#666686"][B][I]Добавлено через 17 минут[/I][/B][/color][/size]
[url]http://www.capable.ru/?p=42[/url]
spamvragam.ru
[QUOTE]У каждого из нас есть свои враги или люди, которые, мягко говоря, по той или иной причине нам не нравятся. Живя в Интернете каждый день, встречаешь массу интересных и добрых людей, но не всегда общение проходит гладко. Из 10 собеседников обязательно найдется то, кто будет против вас, ваших идей и принципов, тот, кто постарается изо всех сил испортить ваше настроение, подчас просто из-за своей гнилой натуры.
Часто мы заказываем всевозможные услуги, обращаемся к админам сайтов и форумов, получаем не то, что нам обещали или нарываемся на жесткую грубость. Чем дольше мы живем, тем шире становится круг наших врагов и "доброжелателей".
В сети наказать обидчика, как правило, бывает практически невозможно. Наш сайт сделан, чтобы помочь Вам.
Мы решили собрать базу емаил адресов плохих людей, организаций, непонятных структур и всякого рода негодяев. Мы предлагаем Вам добавить емаил вашего врага в нашу спам базу.
По мере роста спам базы у вас появится возможность ее увидеть. Внимание администрация сайта не сотрудничает с хакерами и смап рассыльщиками. Мы придерживаемся жесткой политики антиспам, естественно для нормальных людей, чего нельзя сказать о наших врагах. [/QUOTE]
Извините, если не в том разделе пишу, более подходящего не нашла. Мне где-то у Вас попадалось, куда отправлять подобную информацию. Но что-то не нахожу. Взгляните, пожалуйста, на сайт. [url]http://surname.litera-ru.ru/[/url]
Касперский меня туда не пускает категорически, говорит, что "объект заражен Trojan-Downloader.JS.Iframe.xa", а раньше (месяца три назад) пускал свободно.
[QUOTE]Веб-сайт заблокирован!
G Data InternetSecurity 2010: отказано в доступе к этому веб-сайту.
Страница содержит зараженный код: Trojan.Script.7181 (Engine A), VBS:Malware-gen (Engine B).[/QUOTE]
Тоесть, и Аваст, и BitDefender видят на сайте вирус
Правильно видят, в конце страницы внедренный троянский скрипт, декодируется в iframe.
Интересно, специально или нет?
Там поля поиска гениалогической специфики, довольно посещаемый сайт.
Народ ходит косяками. Я не рискнула. Себе дороже.
В каком смысле специально ? То, что не случайно, это уж точно :).
Вероятнее всего закладка внедрена не авторами страницы, в смысле сайт взломан и инфицирован.
Правда, этот iframe нерабочий сейчас (ссылка в нём не работает), но он есть.