Printable View
В сообщении на форумах добавляется следующая запись "обменять купить продать очень выгодно webmoney egold yandex money здесь: [URL]http://dvora.hr/Vode/inexed.htm[/URL] "
в КИПе такая "вот фотка моей девушки [URL]http://dvora.hr/Vode/inexed.htm[/URL] она там голенькая"
Не знаю, что делать, искал 6тым каспером, ничего не находит...AVZ тоже ничего...
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\VisualTaskTips\VttHooks.dll','');
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил.
сорри!
Результат загрузки
Файл сохранён как 071003_095104_virus_4703ac58cb28b.zip
Размер файла 139165
MD5 9e95f43173e22d5d22ef31ec767c217d
Файл закачан, спасибо!
А BitAccelerator.dll из карантина кто съел? Каспер? Присланные файлы чистые.
Выполните скрипт:
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
BC_DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксите в HijackThis:
[code]
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
[/code]
Полагаю, что проблема должна решиться.
Сделайте логи, начиная с п.10 правил.
Каспер, кто же еще ;)
вот файлы
видимо не помогло :( снова эта запись...
Тогда еще парочку проверим. Выполните скрипт:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\FPinger\FPinger.exe','');
QuarantineFile('C:\Documents and Settings\Ovsyanik\Application Data\Mra\Update\menu.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
и новый карантин по правилам.
В дополнение, сделайте еще дополнительный лог, о котором написано здесь - [url]http://virusinfo.info/showthread.php?t=10387[/url]
подозрения на мэйлагент? и фпингер? странно...
все сделал, только вот файло не закачивается :(
[quote=Numb;139508]В дополнение, сделайте еще дополнительный лог, о котором написано здесь - [URL]http://virusinfo.info/showthread.php?t=10387[/URL][/quote]
сделал, вот протокол.
[quote=Bratez;139505]и новый карантин по правилам.[/quote]
сделано
Файл сохранён как 071003_105448_virus_4703bb48a6f32.zip
Размер файла 777424
MD5 79ec368dbac7f73e3900b4ee0cb44e53
FPinger.exe и menu.dll - по вирустотал чисты ...
выполните скрипт...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\??\C:\WINDOWS\system32\Drivers\TSKNF400.SYS','');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно прложения 3 правил ...
добавление строк происходит во всех браузерах ?
Доброго времени суток!
Все сделал.
Файл сохранён как071004_011442_virus_470484d245ece.zipРазмер файла4631MD5be78bfa8dfe24ee5bc36ef47e9d7e344
Во всех которыми пробовал (это EI7, Opera, MyIE) это добавляется.
И ещё заметил такую странность, логофф стал очень долго происходить.
TSKNF400.SYS - чистый ....
повторите лог (стандартный скрипт 3) ..
Вот лог
Давайте так попробуем: на время выполнения скрипта, отключитесь от сети и отключите монитор Касперского. Далее, программа AVZ - файл - выполнить скрипт - выполните следующий скрипт: [code]begin
Clearquarantine;
QuarantineFile('c:\program files\tray commander\tc.exe','');
QuarantineFile('C:\WINDOWS\system32\vc7upd.dll','');
QuarantineFile('C:\Program Files\VisualTaskTips\VisualTaskTips.exe','');
QuarantineFile('C:\Program Files\USDownloader\USDownloader.exe','');
QuarantineFile('C:\Documents and Settings\Ovsyanik\Application Data\Mra\Update\games.dll','');
QuarantineFile('c:\windows\system32\wgdm.exe','');
QuarantineFile('C:\Program Files\VisualTaskTips\VttHooks.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code] После перезагрузки, содержимое карантина загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=12903[/url] На всякий случай, скачайте Cureit! - [url]ftp://ftp.drweb.com/pub/drweb/cureit/cureit.exe[/url] и проверьте систему еще и им, желательно, загрузившись в безопасном режиме. Внимание! При запуске cureit! выполняет экспресс-проверку системы, по окончании которой, следует самостоятельно отметить пунет "полная проверка" и нажать кнопку "старт"
Файл сохранён как 071004_041658_virus_4704af8a6b978.zip
Размер файла 932138
MD5 102589c41efa68dd8412979d96451938
проверял... скачал на флешку и с нее проверял в БР, пусто :(
c:\program files\tray commander\tc.exe - нужно дождаться вирлаб (один из эвристиков считает его подозрительным)
C:\WINDOWS\system32\vc7upd.dll - чистый
C:\Program Files\VisualTaskTips\VisualTaskTips.exe - чистый
C:\Program Files\USDownloader\USDownloader.exe (suspected of Backdoor.Delf.180 (paranoid heuristics)) ждем окончательный вердикт
C:\Documents and Settings\Ovsyanik\Application Data\Mra\Update\games.dll -чистый
c:\windows\system32\wgdm.exe - чистый
C:\Program Files\VisualTaskTips\VttHooks.dll - чистый
хорошо спасибо
tc.exe это прога, висящая в трее с "горячими" командами
USDownloader.exe даунлоудер, качающий с рапиды
Прокси это Ваш стоит:192.168.1.100:80?
Затем в AVZ Сервис - Менеджер расширений IE - сохранить список. Прикрепить его сюда к теме. Может там что интересное увидим.
прокси мой
вот список
Ну что мне смириться? :(
Думает народ.
Для полноты картины сделай лог "Менеджеров протоколов и обработчиков".
Делать также как и предыдущий.
хорошо, мой моск уже сломался :(
А куда твоя строчка подевалась? В посл. сообщениях не видно.
выполните скрипт ...
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('\SystemRoot\system32\DRIVERS\AegisP.sys','');
QuarantineFile('\SystemRoot\System32\Drivers\awnizhvz.SYS','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ...
[quote=PavelA;139763]А куда твоя строчка подевалась? В посл. сообщениях не видно.[/quote]
я её насильно убиваю ибо достала она...
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
вот карантин
Файл сохранён как 071004_090954_virus_4704f432a341f.zip
Размер файла 14050
MD5 e25c2974e2566b94418a1c46613e317c
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
кстати, логоф прошел нормально
Доброго времени суток! Что надумали ГОЛОВЫ? )))
AegisP.sys чистый ....
скачайте [URL="http://www.wasm.ru/baixado.php?mode=tool&id=392"]Rku[/URL] сделайте лог приложите ....
обменять купить продать очень выгодно webmoney egold yandex money здесь: [url]http://dvora.hr/Vode/inexed.htm[/url]
запустил, нажал скан, потом в файл-quick report-save info выложил
при запуске говорит, что нашел паразита(картинку прилагаю), жму ОК.говорит что удалил его, но при перезапуске программы, снова тоже самое...
при чем Thread ID постоянно меняется...
Предлагаю опыт:
1. Закрыть все программы
2. Запустить AVZ и активировать AVZGuard
3. запустить браузер как доверенное приложение (в меню AVZGuard есть для этого опция, там найти C:\Program Files\Internet Explorer\iexplore.exe)
4. попробовать из этой запущенной копии IE написать куда-либо и посмотреть, потпишется что-то или нет
5. Отключить AVZGuard
обменять купить продать очень выгодно webmoney egold yandex money здесь: [url]http://dvora.hr/Vode/inexed.htm[/url] пробую
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
обменять купить продать очень выгодно webmoney egold yandex money здесь: [url]http://dvora.hr/Vode/inexed.htm[/url] ещё раз
[size="1"][color="#666686"][B][I]Добавлено через 31 секунду[/I][/B][/color][/size]
обменять купить продать очень выгодно webmoney egold yandex money здесь: [url]http://dvora.hr/Vode/inexed.htm[/url] судя по всему глушняк :(
Если есть возможность не использовать прокси-сервер - попробуйте без него.
test
[size="1"][color="#666686"][B][I]Добавлено через 35 секунд[/I][/B][/color][/size]
да ну??????????!!!!!!!!!!!!!!!!!!!:?
[size="1"][color="#666686"][B][I]Добавлено через 38 секунд[/I][/B][/color][/size]
ВинГейт больной??????????????????!!!!!!!!!!!!!!!!!!!!!!!!!!! >:(
[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]
Заглушил WinGate
[QUOTE=Reboot;139888]Доброго времени суток! Что надумали ГОЛОВЫ? )))[/QUOTE]
не знаю - поможет ли, но уж не помешает:
[QUOTE]C:\Program Files\Java\j2re1.4.2\bin\npjpi142.dll[/QUOTE]
экзотика: актуальная версия [COLOR="Red"][B]1.6.0_0.3[/B][/COLOR]
[quote=Reboot;140032]test
[SIZE=1][COLOR=#666686][B][I]Добавлено через 35 секунд[/I][/B][/COLOR][/SIZE]
да ну??????????!!!!!!!!!!!!!!!!!!!:?
[SIZE=1][COLOR=#666686][B][I]Добавлено через 38 секунд[/I][/B][/COLOR][/SIZE]
ВинГейт больной??????????????????!!!!!!!!!!!!!!!!!!!!!!!!!!! >:(
[SIZE=1][COLOR=#666686][B][I]Добавлено через 4 минуты[/I][/B][/COLOR][/SIZE]
Заглушил WinGate[/quote]
В моей практике были подобные случаи ... когда была заражена машина с проксей (как вариант - прокси перенастроен как-то хитро) и были проблемы у всех, кто ее использует.
Спасибо большое! Проксю переставил, гадость исчезла! :)
Чтобы уменьшить шанс заражения, советуем на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]5[/B][*]Обработано файлов: [B]44[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]