Вылазит окно
В ИЕ6 при загрузке страницы или переходе по ссылке вылазит окно(в прикреплённом файле). Проверяю сейчас ДрВэбом, на текущий момент нашёл немного вирусни(прикреплённый файл). АВЗ - ничего в памяти не нашёл. Сейчас делаю анализ системы, логи будут чуть позже. Может пока кто-то подскажет, как убрат появляющееся окно.
Последний раз редактировалось cander; 02.04.2007 в 13:35.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Подскажут. Правила.
Заодно пришлите (опять же по правилам, см. Приложение 2):
Посмотрим, какой это Сухов (c) Белое солнце пустыниКод:C:\Program Files\TopSearch\TopSearch.exe
anton_dr - Я же написал, что логу будут после проверки системы. Это не мой комп, а хотелось бы избавиться от заразы по скорее.
На вирус-тотале этот файл опознают только Вэб и ещё один антивирусник.Сообщение от pig
Последний раз редактировалось anton_dr; 23.11.2006 в 15:18.
Я же написал - выполните правила. Без логов что-то сказать очень сложно.
Что бы избавится скорее, поскорее сделайте логи. Нейжели это непонятно?
Позвонили вы в больницу - "доктор, помогите. Но я вам не скажу, что у меня болит, вы просто поскорее скажите, какое мне лекарство выпить и что вырезать."
Вы делаете то же самое.
И еще. Правила надо все-таки читать. Не нужно выкладывать запрошенные файлы в общий доступ.
Файл сохранён как061123_072150_TopSearch_4565925e4b1d6.zipРазмер файла257374MD5e057f0b937252b7e8caf0c39ad4ba2bf
По поводу присылки файлов: ещё раз читайте правила, приложение 2.
А библиотека от него лучше детектируется.
Complete scanning result of "__1042", received in VirusTotal at 11.23.2006, 13:17:21 (CET).
Antivirus Version Update Result
AntiVir 7.2.0.44 11.23.2006 ADSPY/TopMoxie
Authentium 4.93.8 11.22.2006 could be a corrupted executable file
Avast 4.7.892.0 11.22.2006 Win32:Adware-gen.
AVG 386 11.23.2006 no virus found
BitDefender 7.2 11.23.2006 no virus found
CAT-QuickHeal 8.00 11.22.2006 no virus found
ClamAV devel-20060426 11.23.2006 no virus found
DrWeb 4.33 11.23.2006 DLOADER.Trojan
eSafe 7.0.14.0 11.22.2006 no virus found
eTrust-InoculateIT 23.73.65 11.23.2006 no virus found
eTrust-Vet 30.3.3209 11.23.2006 no virus found
Ewido 4.0 11.23.2006 Adware.TopSearch
Fortinet 2.82.0.0 11.23.2006 Adware/Topmoxie
F-Prot 3.16f 11.22.2006 no virus found
F-Prot4 4.2.1.29 11.22.2006 no virus found
Ikarus 0.2.65.0 11.23.2006 no virus found
Kaspersky 4.0.2.24 11.23.2006 no virus found
McAfee 4902 11.22.2006 potentially unwanted program Adware-TopMoxie
Microsoft 1.1804 11.23.2006 no virus found
NOD32v2 1879 11.23.2006 no virus found
Norman 5.80.02 11.22.2006 no virus found
Panda 9.0.0.4 11.22.2006 no virus found
Prevx1 V2 11.23.2006 Adware.IstBar
Sophos 4.11.0 11.16.2006 TopSearch
TheHacker 6.0.3.123 11.23.2006 no virus found
UNA 1.83 11.22.2006 no virus found
VBA32 3.11.1 11.22.2006 no virus found
VirusBuster 4.3.15:9 11.22.2006 no virus found
Aditional Information
File size: 223954 bytes
MD5: 4bd0de54e7561a4114fe411d2f253f63
SHA1: dd5d8ee24e72b98d355aa28abfd00805331d2a54
packers: BINARYRES
packers: embedded
На самом деле TopSearch.dll по Dr.Web - Adware.TopSearch, просто в архиве было всё, вот и смешалось.
Ну конечно правила читал в первую очередь, только вот лог АВЗ сделался только что. А как я его выложу, если АВЗ проверяет систему и еще не создала лога. Сейчас пока выложу первый лог АВЗ. Вэбер допроверяет, перезагружусь и выложу следующии.
Про файлы я не понял, их постить не сюда, а через форму?
Вот АВЗ проверила и есть несколько подозрительных файлов их куда выложить?
Последний раз редактировалось cander; 02.04.2007 в 13:35.
Угу, уже и сам проверил. Думал только exe , а тут еще и dll
Последний раз редактировалось anton_dr; 23.11.2006 в 15:57.
Неужели так трудно подождать полчаса-час? Все равно ранее всех требуемых логов вы никаких рекомендаций не получили.
Файлы постить надо через форму - раз вы читали правила, там это должны были увидеть.
Не нужно ничего присылать, пока вам не сказали, что именно нужно.
пришлите по правилам форума:
c:\windows\system32\ejehaz.exe
c:\windows\dobe~1\regsvr32.exe
c:\documents and settings\1\application data\sуmbols\wіnword.exe
(именно этот файл! искать нужно по маске "w?word.exe")
C:\WINDOWS\system32\aak.dll
C:\WINDOWS\system32\rerznwm.dll
C:\Program Files\Internet Optimizer\optimize313.exe
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\phhugf.exe
integitor.exe
sysnet.exe
winvlk32.dll
C:\WINDOWS\nem220.dll
C:\Program Files\ToolBar888\MyToolBar.dll
C:\PROGRA~1\ISTbar\istbar.dll
C:\WINDOWS\Downloaded Program Files\PrevAdX.dll
C:\WINDOWS\DOWNLO~1\ISTACT~1.DLL
C:\WINDOWS\Downloaded Program Files\int_ver34.ocx
Остальные логи.
Последний раз редактировалось cander; 02.04.2007 в 13:35.
DrWeb сегодня утром закончил проверку, нашёл ещё немного вирей. После перезагрузки окно пока не появлялось. Файлі сейчас пришлю.
Не все файлы нашёл. Найденные выслал.
c:\windows\dobe~1\regsvr32.exe - был удалён ДрВэбом
C:\Program Files\ToolBar888\MyToolBar.dll - был удалён ДрВэбом
А эти не нашлись
C:\Program Files\SurfAccuracy\SAcc.exe
C:\Program Files\ISTsvc\istsvc.exe
C:\WINDOWS\phhugf.exe
integitor.exe
sysnet.exe
winvlk32.dll
C:\WINDOWS\nem220.dll
C:\PROGRA~1\ISTbar\istbar.dll
C:\WINDOWS\Downloaded Program Files\PrevAdX.dll
C:\WINDOWS\DOWNLO~1\ISTACT~1.DLL
C:\WINDOWS\Downloaded Program Files\int_ver34.ocx
На всякий случай лог ДрВэба
Последний раз редактировалось cander; 02.04.2007 в 13:35.
всё-таки файл c:\windows\dobe~1\regsvr32.exe есть.
АВЗ говорит, что грохнет его после перезагрузки - все ровно потом опять его детектит. Сканер ДрВэба тоже находит в процесах, говорит, что файл будет удалён после перезагрузки, но перезагрузка проходит, а файл детектится. Как его грохнуть не знаю.
Это c:\documents and settings\1\application data\sуmbols\wіnword.exe тоже подозрительная вещь, при загрузке пытается в реестр прописываться. Может грохнуть его?
1. Загрузитесь в безопасном режиме (F8 после перезагрузки компьютера)
2. Запустите AVZ. Включите AVZGuard. Через AVZ (файл-отложеное удаление файла) удалите c:\windows\dobe~1\regsvr32.exe
c:\documents and settings\1\application data\sуmbols\wіnword.exe
3. Перезагрузитесь не отключая AVZGuard
Последний раз редактировалось Alex_Goodwin; 24.11.2006 в 12:17.
Вот сделал опять все логи.
В безопасном режиме АВЗ Гард не захотел запускаться. Удалил так отложенім удаление - все равно сейчас есть. ДрВєб в безопасном режиме єтот вирус не видит.
Последний раз редактировалось cander; 02.04.2007 в 13:35.
Получается токого файла c:\windows\dobe~1\regsvr32.exe при загрузке в безопасном режиме нет. Нашёл в Виндах похожую папку и оттуда грохнул этот файл, но как оказалось regsvr32.exe запускает c:\documents and settings\1\application data\sуmbols\wіnword.exe.
Не знаю как грохнуть эти файлы, появляются после перезагрузки.
А вы в обычном режиме загрузки убивали эти файлы с поддержкой AVZ Guard или нет?
Пробуем такой ход:
1. Запускаете AVZ
2. Файл - Стандартные скрипты: отмечаете "Поиск и нейтрализация Rootkit...", жмёте "Выполнить..."
3. AVZGuard - Включить AVZGuard
4. Заряжаете файлы на отложенное удаление, соглашаетесь с чисткой реестра
5. Перезагружаетесь, не выходя из AVZ и не выключая AVZ Guard
Спасибо за совет, но уже получилось грохнуть файл. Убрал из автозагрузки c:\documents and settings\1\application data\sуmbols\wіnword.exe и всё грохнулось.
Получается в безопасном режиме авз-гард не работает.
Что огорчило немного, так это Вэбер на большее кол-во подозрительных файлов из АВЗ не отреагировал. Отослал им.
Уважаемый(ая) cander, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
