Антивирус заблокировал некую страницу, которую я не открывал

[olejah]

WDICA, PDCOMP, PDFRAME, PDRELI, PDRFRAME

Это нормальные файлы, ссылки в реестре на которые присутствуют почти в любой системе.

[FynjyZn]

Ну тогда, собственно, все ок. Спасибо!

[olejah]

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3

- Установите Internet-Explorer 8.(даже если Вы его не используете)

- Поставте все последние обновления системы Windows - тут

[FynjyZn]

Снова блок страницы

Твою ж мать... Рано я радовался. Только что AVG заблочил очередную якобы открытую Хромом страницу. Тоже /twitter/03, только адрес другой. Опять же, ни на какие левые страницы не заходил, и этот алерт случился "при моем бездействии", так сказать (т.е. не при клике и т.п.) Посмотрел Process ID - принадлежит главному процессу Хрома, а не какой-нибудь отдельной вкладке.

Что же я подхватил... Новые логи какие-нибудь сделать?

[FynjyZn]

В теме, которой уже поставлен статус "Излечено", снова неприятности. Т.к. я не уверен, что ее заметят (даже после поста в ней она не выделилась в списке, и у нее по-прежнему статус Излечено), решил просто создать тему по-новой и дать ссылку на старую:

http://virusinfo.info/showthread.php?t=87918

Если надо продолжать в той, ответьте там, пожалуйста.

[Никита Соловьев]

Обновите систему
- SP2 обновите до Service Pack 3(может потребоваться активация)
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

* Microsoft остановил поддержку и выпуск обновлений безопасности для ОС Windows XP без установленного SP3

- Установите Internet-Explorer 8.(даже если Вы его не используете)

- Поставте все последние обновления системы Windows - тут

Думается мне Вы это игнорировали Нет?


Сделайте лог ComboFix

[FynjyZn]

Не проигнорировал, просто не успел еще. Думал завтра этим как раз заняться, но сейчас, я так понимаю, лучше сначала убить заразу? Обновление системы заткнет дыры, но вряд ли избавит от вируса, уже сидящего внутри. Лог Combofix сделал, прикладываю.

Из замеченных в процессе странностей:

1) ComboFix при запуске сказал мне выключить AVG, что я и сделал. Нажал ОК, через пару секунд выскочила пустая ошибка, после чего компьютер пошел перезагружаться, и дальше уже в досовском окне был сам процесс.

2) Во время Stage 3 выскочила виндовая ошибка о том, что приложение PEV.cfxxe совершило недопустимую операцию и будет закрыто. После этого проверка продолжилась дальше.

3) Stage 49 выполнялась как-то очень долго, хотя не знаю, может, это нормально.

---------------

После окончательной перезагрузки:

1) Google Chrome считает, что он не дефолтный браузер - фигня, поправил
3) Блокнот забыл настройку "переносить по словам". - фигня, поправил
2) Пропала языковая панель рядом с треем. Соотв. галочка стоит, а иконки en/ru нет. При этом языки, как видите, переключаются. - а вот это не поправить...

Может быть, еще что-то, но эти вещи сразу бросились в глаза.

Лог вот. Длл от Агента точно ни при чем, а вот inst.exe...

P.S. Качаю SP3, мне можно прямо сейчас поставить или дождаться результатов по КомбоФиксу, чтобы не изменить ничего с момента скана?

Апд: А хотя вот, сейчас уже есть иконка en/ru около трея. Не заметил, когда именно появилась и в результате чего.

[FynjyZn]

Хм. То ли это глюки на VirusTotal, то ли у меня, но из-под Хрома я натурально устал ждать загрузки хоть чего-нибудь на странице (Хром находил сайт, все ок, грузил его, но на странице так ничего и не грузилось), а в Файрфоксе кое-как открывается, но безумно медленно. Чуть ли не по строчке в минуту. С интернетом все в порядке, другие сайты открываются шустро. Касперский, Др. Веб и т.п. - тоже.

Или же это какие-то временные проблемы на самом VT?

Апд: а не, теперь уже все ок с VT.

Глянул в netstat еще - когда вырублено вообще все, хоть как-то связанное с интернетом - никаких соединений нет (иногда, очень редко, раз в несколько секунд прибавляется 50-100 Кб ко входящему трафику, но соединений ни с чем нет). Когда открыт браузер - есть соединение еще иногда (в основном во время активных действий в нем) с парой адресов, принадлежащих гуглу, а еще (не всегда) - unknown.hostforweb.com:http. Вот этот я так и не понял, что это.

[Никита Соловьев]

Лог вот. Длл от Агента точно ни при чем, а вот inst.exe...

P.S. Качаю SP3, мне можно прямо сейчас поставить или дождаться результатов по КомбоФиксу, чтобы не изменить ничего с момента скана?

Апд: А хотя вот, сейчас уже есть иконка en/ru около трея. Не заметил, когда именно появилась и в результате чего.

Вообще нежелательно прикасаться к ПК во время работы комбофикс...

Установите SP3 и отпишитесь о состоянии

[FynjyZn]

Я не трогал ничего, кроме сообщения об ошибке PEV.cfxxe - без закрытия этого сообщения работа дальше не продолжалась (как только закрыл - stage 3 и другие тут же поехали дальше, причем довольно резво).

Хорошо, вечером поставлю SP3 (сейчас уже "убегаю") и понаблюдаю за ошибкой - она появлялась все-таки весьма нечасто, вон в прошлый раз почти сутки прошли между появлениями.

А из лога Combofix выводы сейчас какие-нибудь есть?

Добавлено через 10 часов 48 минут

Пишу сейчас с ноутбука. SP3 в процессе установки, что смущает - эта самая установка как будто "зависла" на самом последнем этапе - "Завершение установки, Подробно: выполнение очистки". Все остальные этапы (бекап старых файлов, проверка ключа, установка новых) прошли довольно быстро и без ошибок, а сейчас вот. Уже 60 минут (действительно столько, засёк) установка находится на этом этапе "Выполнение очистки". При этом окно не зависшее, свободно двигается, жесткий диск активно используется, рабочий стол периодически обновляется (как при нажатии F5) и, кстати, место на C: скачет от 2 с лишним Гб (примерно столько должно было остаться после установки) до буквально 300-400 Мб, постепенно уменьшаясь и потом снова увеличиваясь.

Мне стоит беспокоиться? Ответьте поскорее, пожалуйста, насиловать компьютер перезагрузкой во время этого я не рискну, но мне кажется, что это не совсем нормально. В конце концов, установка уже прошла, а эта самая "очистка" уже длится больше часа и то жрет место на диске С, то возвращает его обратно. Бред какой-то. Вырубать компьютер, думаю, мб опасно, но не держать же его "вечно" в таком состоянии...

Добавлено через 1 час 6 минут

Спустя еще где-то с полчаса SP3 все-таки закончило ставиться, сожрав в результате места на C: больше, чем обещало.

Итого: поставил SP3, IE8, все апдейты. Насчет проблемы, если честно, не знаю - она же появлялась в почти случайное время и не очень часто. Посмотрю, что будет. Если надо, могу опять какой-то лог сделать.

Переименованный inst.exe (который был в Application Data) из карантина ComboFix'а, может, залить/прислать куда-нибудь?

[FynjyZn]

После всего этого вконтакте выдает такое: (см. вложение)

Что это? Правда или подмененная страница? Как узнать? В заголовке http://vkontakte.ru/login.php?act=change_pass&<...>

[Никита Соловьев]

Сделайте новые логи AVZ и hijackthis

[FynjyZn]

Вот

Да, кстати, в Application Data рядом с inst.exe (которого там, разумеется, уже нет) есть pcouffin.cat, pcouffin.ini, pcouffin.txt и (!) pcouffin.sys. Судя по ini, было установлено некое pcouffin от VSO. Там же рядом есть vso_ts_preview.xml.

[FynjyZn]

Оппа, сам у себя заметил только что в AVZ:

catchme
Драйвер: Выгрузить, Удалить, Отключить, Удалить через BC catchme Не запущен C:\DOCUME~1\User1\LOCALS~1\Temp\catchme.sys
Скрипт: Kарантин, Удалить, Удалить через BC Base

Еще есть C:\Qoobox\Quarantine\catchme.txt и (o_O) посмотрите, где нашлась хрень:

[thyrex]

Это от компонентов Комбофикс

[FynjyZn]

Хм, точно? Несколько ссылок говорят, что "бывает от комбофикс, а чаще всего бывает кейлоггером" (учитывая, что у меня с контактом... там еще пока не рискнул вводить пароль)

В смысле, не подумайте, что сомневаюсь в вас, просто из того, что сам пока успел найти. Да и нахождение "страницы" в "Моем компьютере" (причем по клику правой клавишей по этому "файлу" выдается меню на английском, хотя система русская) выглядит, ну прямо сказать, очень странно.

Я так понимаю, если я удалю combofix, как описано в соотв. теме, этот catchme должен пропасть, и вот если нет, тогда действительно нехорошая вещь?

Да, и... что с логами?

P.S. Проверил вконтакте.ру со своим логином и паролем с другого компьютера (совершенно точно чистого) - при входе в учетку там тоже предлагают сменить пароль, т.к. рассылался спам. Так что в подлинности страницы я теперь уверен (правда, пока еще не заходил / не менял), другое дело, что чего мне стоит опасаться теперь. Это был кейлоггер, или пароль откуда-то еще программа "достала", или что. Ну и, соответственно, хотелось бы знать, сидит ли у меня еще что-то до сих пор. Пароли к другим сайтам, слава богу, целы.

Апд: Занятно, попытка удаления ComboFix в точности, как описано в той теме (с ключом /u) привела к полнейшему его игнорированию и прогону теста снова. ) Вы не просили, конечно, но раз уж он сделался... Может, будет полезным.

[FynjyZn]

Из всяких подозрительных вещей (просто перечислю):
папки "temp" (пустые), созданные в C:\Documents and Settings\LocalService\Local Settings, C:\Documents and Settings\NetworkService\Local Settings, C:\Documents and Settings\User1\Local Settings, C:\WINDOWS\system32\config\systemprofile\Local Settings и C:\Documents and Settings\User1\Application Data\Mra\**@**.ru - созданы почти одновременно

В частности, C:\Documents and Settings\User1\Local Settings\temp\~DF9214.tmp

C:\Documents and Settings\User1\Local Settings\Apps\2.0 - создана совсем недавно, там папки 11DKTPDR.RCD, DJ358AR7.O4T, PW7T3RTM.GZ2, RHOL3Q03.9PH, внутри находится примерно такое: C:\Documents and Settings\User1\Local Settings\Apps\2.0\PW7T3RTM.GZ2\N2KJYDYH.TO4\clic.. .exe_9a8dfcd080ccb114_0001.0002_none_19406a31b53cc 9d1

батники с именами вроде A0005473 в C:\System Volume Information\_restore{B9249E0B-1E2E-49D9-BE0D-E131D19A0FDC}\RP93

Хотя, может, это у меня уже сверх-подозрительность, не знаю... Это из файлов, измененных в последние полтора часа. Хотелось бы узнать мнение, насколько это все опасно, и насчет логов.

[FynjyZn]

Вроде как пока что все в норме. Два вопроса по последствиям от combofix:

1) пропало переключение языков рядом с треем, хотя собственно переключение происходит. Однако не всегда (иногда приходится несколько раз жать alt+shift, чтобы сработало).

2) иногда (очень редко) маленькие странности с русскими символами - в DOS-приложениях, кажется, сменилась кодировка (вроде бы точно такая же смена, как в логе комбофикса в именах папок с русскими именами), еще неправильная кодировка в диагностических вещах, запускаемых до собственно ОС (вроде СканДиска и т.п.), а также на одном сайте в заголовках текстов, генерируемых на странице уже в процессе просмотра - хотя, мб, это их собственный временный глюк, выглядит это примерно как Ирада -> [квадратики]а[квадратик]а.

Добавлено через 5 часов 3 минуты

Да, и еще, только что. На C в районе 1.5 - 2 Гб свободного места было, вдруг в трее всплыло уведомление, что на C кончается место. И правда - 150 Мб вдруг стало. Через несколько секунд и одно моргание рабочего стола (как при F5) - стало 2.12, то есть примерно как раньше, ну плюс-минус чуть-чуть. В общем, поведение примерно как при установке SP3. Это что вообще было?

Догадываюсь, что успел подзадолбать всем этим, но все-таки показалось странным.

[Никита Соловьев]

Удалите комбофикс

[FynjyZn]

Я же говорю - я вводил именно с этим ключом (да, без опечаток, пробовал и /Uninstall, и /u), но этот ключ, похоже, игнорировался, и combofix просто начинал сканирование.