Printable View
В сообщении на форумах добавляется следующая запись "обменять купить продать очень выгодно webmoney egold yandex money здесь: [URL]http://dvora.hr/Vode/inexed.htm[/URL] "
в КИПе такая "вот фотка моей девушки [URL]http://dvora.hr/Vode/inexed.htm[/URL] она там голенькая"
Не знаю, что делать, искал 6тым каспером, ничего не находит...AVZ тоже ничего...
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\VisualTaskTips\VttHooks.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
сорри!
Результат загрузки
Файл сохранён как 071003_095104_virus_4703ac58cb28b.zip
Размер файла 139165
MD5 9e95f43173e22d5d22ef31ec767c217d
Файл закачан, спасибо!
А BitAccelerator.dll из карантина кто съел? Каспер? Присланные файлы чистые.
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
BC_DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
[/code]
Полагаю, что проблема должна решиться.
Сделайте логи, начиная с п.10 правил.
Каспер, кто же еще ;)
вот файлы
видимо не помогло :( снова эта запись...
Тогда еще парочку проверим. Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\FPinger\FPinger.exe','');
QuarantineFile('C:\Documents and Settings\Ovsyanik\Application Data\Mra\Update\menu.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
и новый карантин по правилам.
В дополнение, сделайте еще дополнительный лог, о котором написано здесь - [url]http://virusinfo.info/showthread.php?t=10387[/url]
подозрения на мэйлагент? и фпингер? странно...
все сделал, только вот файло не закачивается :(
[quote=Numb;139508]В дополнение, сделайте еще дополнительный лог, о котором написано здесь - [URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]
сделал, вот протокол.
[quote=Bratez;139505]и новый карантин по правилам.[/quote]
сделано
Файл сохранён как 071003_105448_virus_4703bb48a6f32.zip
Размер файла 777424
MD5 79ec368dbac7f73e3900b4ee0cb44e53
FPinger.exe и menu.dll - по вирустотал чисты ...
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF400.SYS','');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно прложения 3 правил ...
добавление строк происходит во всех браузерах ?
Доброго времени суток!
Все сделал.
Файл сохранён как071004_011442_virus_470484d245ece.zipРазмер файла4631MD5be78bfa8dfe24ee5bc36ef47e9d7e344
Во всех которыми пробовал (это EI7, Opera, MyIE) это добавляется.
И ещё заметил такую странность, логофф стал очень долго происходить.
TSKNF400.SYS - чистый ....
повторите лог (стандартный скрипт 3) ..
Вот лог
Давайте так попробуем: на время выполнения скрипта, отключитесь от сети и отключите монитор Касперского. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
QuarantineFile('c:\program files\tray commander\tc.exe','');
QuarantineFile('C:\WINDOWS\system32\vc7upd.dll','');
QuarantineFile('C:\Program Files\VisualTaskTips\VisualTaskTips.exe','');
QuarantineFile('C:\Program Files\USDownloader\USDownloader.exe','');
QuarantineFile('C:\Documents and Settings\Ovsyanik\Application Data\Mra\Update\games.dll','');
QuarantineFile('c:\windows\system32\wgdm.exe','');
QuarantineFile('C:\Program Files\VisualTaskTips\VttHooks.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] После перезагрузки, содержимое карантина загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12903[/url] На всякий случай, скачайте Cureit! - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url] и проверьте систему еще и им, желательно, загрузившись в безопасном режиме. Внимание! При запуске cureit! выполняет экспресс-проверку системы, по окончании которой, следует самостоятельно отметить пунет "полная проверка" и нажать кнопку "старт"
Файл сохранён как 071004_041658_virus_4704af8a6b978.zip
Размер файла 932138
MD5 102589c41efa68dd8412979d96451938
проверял... скачал на флешку и с нее проверял в БР, пусто :(
c:\program files\tray commander\tc.exe - нужно дождаться вирлаб (один из эвристиков считает его подозрительным)
C:\WINDOWS\system32\vc7upd.dll - чистый
C:\Program Files\VisualTaskTips\VisualTaskTips.exe - чистый
C:\Program Files\USDownloader\USDownloader.exe (suspected of Backdoor.Delf.180 (paranoid heuristics)) ждем окончательный вердикт
C:\Documents and Settings\Ovsyanik\Application Data\Mra\Update\games.dll -чистый
c:\windows\system32\wgdm.exe - чистый
C:\Program Files\VisualTaskTips\VttHooks.dll - чистый
хорошо спасибо
tc.exe это прога, висящая в трее с "горячими" командами
USDownloader.exe даунлоудер, качающий с рапиды