-
Пообщался в Одноклассниках....
После обращения к странице odnoklassniki.ru появилось ссобщение от DrWeb'a о том, сто некий архив с трояном просятся в cache4 (папку Opera), типа в куки хотят. Ессно, нажал "запретить", однако, сообщение появлялось через некоторое время снова. Подозреваю, что запуск малвари основан на допуске жабаскрипта, применяемого на вышеуказанном сайте.
Через некоторое время обнаружил, что некорректно работает explorer, папки не открывает, а сразу сворачивает на панель "пуск", которая там отсвечивает, пока еще раз не нажмешь. После проверки системы DrWeb'ом нашел шесть штук какой-то гадости в папке cache4. Все удалил, однако, после нового выхода в сеть доктор снова начал ругаться на сохранение малвари в ту же папку. Самое интересное, что когда я зашел на virusinfo, доктор опять выбросил флаг о запрете сохранения в указанную папку зараженного архива. АВЗ что-то нашел, посмотрите, пожалуйста....
Последний раз редактировалось Вячеслав12; 03.10.2008 в 20:53.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('StarWindServiceAE');
QuarantineFile('StarWindServiceAE.sys','');
QuarantineFile('C:\windows\hffext\hffsrv.exe','');
QuarantineFile('C:\windows\hffext\hffkbd.dll','');
QuarantineFile('C:\WINDOWS\hffext\HFFExt.dll','');
TerminateProcessByName('c:\windows\hffext\hffsrv.exe');
QuarantineFile('c:\windows\hffext\hffsrv.exe','');
DeleteFile('StarWindServiceAE.sys');
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(8);
RebootWindows(true);
end.
пришлите карантин согласно приложения 2 правил
-
-
Архив закачан. Сделал повторные логи, на всяк случай, по-моему,изменений пока нет...
Последний раз редактировалось Вячеслав12; 03.10.2008 в 20:53.
-
Да, чуть не забыл. Какого-то х... в "моем компьютере" после проверки АВЗ появилась папка "Веб-папки". Думаю, что этот пассажир без билета...
-
так и должно быть в эталонной системе .... но можно и убрать
Код:
begin
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
end.
логи делать никто не просил .... пока
-
-
Пишет "Скрипт выполнен без ошибок". Это все?
-
дальше немного подождем ответ вирлаба , по поводу карантина
-
-
ОК.
Опять вири лезут!!!
Последний раз редактировалось Rene-gad; 21.09.2008 в 11:07.
-
HFFExt.dll, hffkbd.dll, hffsrv.exe_, rwiped.exe_, Test_D3D10.exe_
Вредоносный код в файлах не обнаружен.
У вас есть локальная сеть ?
-
-
Нет, я на домашнем...
Добавлено через 2 минуты
Сообщение от
V_Bond
HFFExt.dll, hffkbd.dll, hffsrv.exe_, rwiped.exe_, Test_D3D10.exe_
Три последних точно ни при чем...
Последний раз редактировалось Вячеслав12; 21.09.2008 в 11:01.
Причина: Добавлено
-
Сообщение от
Вячеслав12
Нет, я на домашнем...
подключение к интернет какое ?
-
-
Удалите Ваш профиль Оперы или переименуйте его. Опера при этом д.б. закрыта. Запустите Оперу по новой.
-
-
Подключение ADSL через роутер. Да, похоже, что дырка в опере, у меня их почему-то две оказалось...
Добавлено через 38 секунд
Удалю полностью всю оперу и установлю по новой...
Последний раз редактировалось Вячеслав12; 21.09.2008 в 11:13.
Причина: Добавлено
-
Сообщение от
Вячеслав12
Удалю полностью всю оперу и установлю по новой...
Не исключено, что старый профиль при этом останется в
C:\Documents and Settings\user\Application Data\Opera (скрытая папка) !!!
Надо после удаления сначала ввести поиск по оставшимся папкам Оперы до того, как её заново установить!
PROGRAM FILES\Opera\UnInst\Install.log проверьте какие папки именно Опера устанавливает. Сохраните копию этого файла на рабстол для удобства потом...
Paul
Последний раз редактировалось XP user; 21.09.2008 в 11:27.
-
Переустановил, естественно, после полного удаления ВСЕХ папок опреы в машине. Новые логи делать для очистки совести?
Теперь еще и корзина полностью не освобождается... Опять....
Чего дальше делать-то?
Тупик?
Последний раз редактировалось Rene-gad; 22.09.2008 в 11:09.
-
-
-
Вот что снова лезет в папку cache4 при переходе теперь уже на сайт Rambler.ru:
Exploit.Slider.3
Exploit.PDF.4
Exploit.Slider.4
Несмотря на все усилия, в т.ч. переустановку оперы, атака продолается. Система оснащена SP 3, все возможные дыры были предварительно залатаны при помощи руководства, имеющееся на сайте. Brain.exe и Hands.dll работают в прежнем режиме...
-
Что-то еще у Вас сидит и качает...А в Файрфоксе или в ИЕ та же проблема?
-
-
Гугль хром юзаю, но в нем нет такой траблы. IE не использую принципиально, дырка на дырке, файрфокс глючит, не юзаю. Сейчас перейду на гуглу...
-
Сообщение от
Вячеслав12
Гугль хром юзаю, но в нем нет такой траблы. IE не использую принципиально, дырка на дырке, файрфокс глючит, не юзаю. Сейчас перейду на гуглу...
Гугла - оно еще новое и непонятное. Интересно ИЕ или Файрфокс, можно еще SeaMonkey попробовать.
ПС: киньте в личку страницу, где Др.Веб орет.
-