Это проявляется в момент запуска любого приложения вместо приложения запускаетя окошка рисунок 1 смотреть выше либо надпись рисунок 2. или приложение просто запускается. Компьтер рабочий находится в сети но это не шутка сисадмина я эту бяку занес с компа клиента когда пытался вылечить его комп, занес через курента от доктор вэба.Клиенту я комп спас спомощью убитием обоих раздел и создание всего по новой, у себя так не могу много нужной. У меня информации. У меня такое подозрение что этя бяка прописывается в ехе файлах.
Просто если смотреть через "ProcessExplorer" что загружается в момент загрузки любой программы то "ProcessExplorer" показывает запуск приложения но приэтом либо окошко с надписью рисунок 1 либо надпись рисунок 2. тобишь ничего вроде левого не подгружается.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Разници нет из под оболочки винды или через тотал командер результат один
Тогда нужно пробовать скрипт - отработаем эту версию ... Плюс - как как с расширением - есть разница, запускается *.pif или *.exe ??
PS: идея файлового инфектора маловероятна - AVZ не фиксирует повреждения системных компонент и его самого ...
AVZ запускается без проблем с любым разрешением из того что вы перечислили.Вот файлы которые вы просили.
Ничего аномального не вижу, REG файлы нормальные. Тогда поступим так: нужно в AVZ выполнить меню "Сервис\Поиск файла на диске". Там пометить системный диск в области поиска, маску поиска поставить *.*, поставить птичку "Содержит текст" и ввести образец текста Privet! , и нажать "Пуск". И пускай ищет ... если что найдет - то затем это пометить в списке найденного и нажать "скопировать в карантин", карантин далее нам по правилам (лог результатов поиска можно сюда поместить).
И еще момент - у ProcessExplorer есть полезная фича - кнопка на панели, с иконкой типа перекрестия. Если перетащить ее на любое диалоговое окно, то PE покажет процесс, создавший это окно. Надо это проделать и посмотреть, на какой процесс он укажет (тем более добиться появления такого окна не сложно)
Последний раз редактировалось Зайцев Олег; 05.03.2009 в 17:39.
Вот что он нашел
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win.bak )
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\global.dat)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\yandex.ru.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\www.google.com.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\ru.search.yahoo.co m.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\nova.rambler.ru.id x)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\cache4\dcache4.url)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Последний раз редактировалось Зайцев Олег; 05.03.2009 в 19:49.
Причина: стер реальные icq номера
Вот что он нашел
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win.bak )
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\sessions\autosave.win)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Application Data\Opera\Opera\profile\global.dat)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\yandex.ru.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\www.google.com.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\ru.search.yahoo.co m.idx)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\images\nova.rambler.ru.id x)
Файл успешно помещен в карантин (C:\Documents and Settings\Serg.TELKO\Local Settings\Application Data\Opera\Opera\profile\cache4\dcache4.url)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Файл успешно помещен в карантин (C:\Program Files\QIP\Users\<UIN>\History\<UIN>.txt)
Через Opera обсуждается данная тема, через QIP явно запрашивалась консультация - поэтому в их кешах и логах есть это слово. К сожалению ничего исполняемого не попалось ... Тогда отрабатываем следующий вариант: нужно запустить ProcessExplorer, добиться появления этого окна запустив что-то и не закрывая это окноперетащить на него кнопку с иконкой типа перекрестия из Process Explorer. Если перетащить эту кнопку на любое диалоговое окно, то PE покажет процесс, создавший это окно. Надо это проделать и посмотреть, на какой процесс он укажет
Он показывает тот процес который я запустил в данном случае я запустил винамп и РЕ показывает на него.
Тут к стати я сейчас попробыал прошлый ваш совет где мы искали слово Privet! я сейчас запустил так же только слово (Х....У) и сейчас идет проверка но результат меня не радует такое чуство что сидит это слово везед сейчас закончит проверку я пришлу карантин и сюда выложу логи.
Он показывает тот процес который я запустил в данном случае я запустил винамп и РЕ показывает на него.
Тут к стати я сейчас попробыал прошлый ваш совет где мы искали слово Privet! я сейчас запустил так же только слово (Х....У) и сейчас идет проверка но результат меня не радует такое чуство что сидит это слово везед сейчас закончит проверку я пришлу карантин и сюда выложу логи.
OK, тогда ждем результат и будем пробовать другие методы поиска - их еще штук 5 осталось
Добавлено через 38 минут
Сообщение от skolmykov
.... меня не радует такое чуство что сидит это слово везед сейчас закончит проверку я пришлу карантин и сюда выложу логи.
В таком случае карантин можно не слать - короткое слово может находиться в сотне мест, особенно в кешах браузера. Можно поставить фильтр на расширения EXE, DLL, SYS.
Далее следующие рецепт - по ссылке http://www.z-oleg.com/avz02290306001.exe лежит хитрый инструмент, EXE размером 1.4 мб. Его нужно скачать, положить куда угодно (например, на рабочей стол, если нужно дать расширение PIF), и запустить. Он поработает некоторое время, создастся папка LOG. virusinfo_syscure.zip оттуда нужно прицепить в эту тему (это логи), а virusinfo_files_имяПК.zip нужно прислать через форму http://virusinfo.info/index.php?page=uploadclean (MD5 архива, котиорый сообщит форма загрузки, желательно запостить сюда)
Последний раз редактировалось Зайцев Олег; 06.03.2009 в 09:21.
Причина: Добавлено
я скинул карантин там три файла всего остальное не стал так как после полной проверки нашел 3111 файлов из 68000 и когда я начил их копировать в карантин то у меня кончилось место на жеском диске поэтому я решил проверить только папку виндовс и из нее выбрал 3 файла что бы Вы посмотрели их. У меня подозрение что эта бяка идет как микро код который прописался у меня на компе в файлах и теперь так себя ведет.
я скинул карантин там три файла всего остальное не стал так как после полной проверки нашел 3111 файлов из 68000 и когда я начил их копировать в карантин то у меня кончилось место на жеском диске поэтому я решил проверить только папку виндовс и из нее выбрал 3 файла что бы Вы посмотрели их. У меня подозрение что эта бяка идет как микро код который прописался у меня на компе в файлах и теперь так себя ведет.
Да, файлы из папки Windows нужно прислать нам и далее логи/файлы от указанного мной выше анализатора на базе AVZ - он ищет больше, чем обычная версия
фаил с именем virusinfo_files_TELKO-SKLAD2 скинул по форме как вы просили
програмка после проверки закрылась сама
логи не смог увидеть система тормозит по страшному
и прислать карантин. Пока в логах и пришедшем карантине ничего особо опасного не видно. Это парвое.
2. Далее отработаем версию с чем-то хитро маскирующимся. Для его поиска нужно провести анализ ПК утилитой GMER (это в отличе от AVZ специализированный антирутикит и он может увидет больше) - вот инструкция - http://virusinfo.info/showpost.php?p=351873&postcount=1, логи GMER нужно прицепить сюда
3. В AVZ нужно активировать AVZPM через меню, перезагрузить ПК и повторить исследование системы согласно правилам, логи прицепить сюда - может быть, в этом режиме что-то найдется
4. Выполнив 1-3 стоит попробовать поставить опыт - отключить сеть, перезагрузить ПК и посмотреть, будет такой глюк или нет
Итого, сдем результатов выполнения данных шагов, если не поможет, придется пускать в ход тяжелую артиллерию
Причина прояснилась, равно как метод реализации Для уверенности на 100% нужно сделать такую вещь:
1. Запустить AVZ, активировать AVZGuard
2. Из меню AVZGuard запустить что угодно как доверенное, например блокнот или любую другую программу). Окошко с сообщение не должно отображаться
3. Выключить AVZ Guard
Выполнил 4 пункт проблема не ушла. Кстати по поводу сети я нахожусь в сети нашей внутренней и через нее выхожу в инет но эта бяка сидит тока у меня так как я не выхожу по сети на внутренний сервер либо на какой нить комп внутри сети. Мое подозрение втом что если я выйду по локалке на другой комп и запущу какое нить приложение то эта бяка попадет на сервак либо на другой ком или если из сети у меня что нить запустят тогда эта бяка пойдет дальше и т.д. и т.п.
а я сижу с этой ябякой уже с 3,03,09 числа и она пока тока у меня. Я так понимаю что она сама не распространяется по сети она подсаживается на ехе и потом при запуске на другом компе активируется
Уважаемый(ая) skolmykov, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Сообщение от skolmykov
