Около месяца назад случайно обнаружил что при операции copy-paste моего номера Я-кошелька выгружается не мой номер, а вот этот: 4100114313288. Приходится номер вбивать руками, иначе перевод который я жду уйдет по другому адресу.
Еще один сюрприз - кто-то свистнул пароль к моему номеру ICQ и подменил меня собой. Деньги просит у юзеров из контакт-листа.
Из новых особенностей в работе также отмечу несанкционированное пользователем предложение соединиться с интернетом - выпрыгивает окно подключения при загрузке ОС, и иногда в работе.
Насчет дремучести и дырявости моей ОС в курсе ( не в первый раз обращаюсь). Но есть virus.info, и значит все поправимо!
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\svshost.exe','');
QuarantineFile('c:\windows\calc.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный).zip','');
DeleteFile('C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный).zip');
DeleteFile('c:\windows\calc.exe');
DeleteFile('C:\WINDOWS\svshost.exe');
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
1. Выполните скрипт в AVZ (AVZ, Меню Файл\Выполнить скрипт. Подробнее...):
выполнил
После выполнения скрипта компьютер перезагрузится.
После перезагрузки пришлите попавшие в карантин файлы согласно правилам (для отправки файлов следует воспользоваться ссылкой "Прислать запрошенные файлы" над первым сообщением темы)
C:\WINDOWS\svshost.exe - Backdoor.Win32.SdBot.asy(Kaspersky) BackDoor.IRC.Evil(DrWeb)
C:\WINDOWS\calc.exe - Trojan-Spy.Win32.Webmoner.ct(Kaspersky) Trojan.Spy.Webmoner.CV(BitDefender)
Это тот, кто менял номер кошелька.
C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный). zip - Trojan.Pws.Ldpinch.RT(BitDefender)
Этот "помог" в уводе Вашей ICQ.
Все удалены.
Сообщение от hash
Обязательно оставлять "вручную" на телнете?
Ставить "выключено".
Диск "D" - CD/DVD привод?
Сообщение от hash
Но есть virus.info, и значит все поправимо!
С таким отношением к безопасности Вы //наверное// еще вернетесь к нам.
C:\WINDOWS\svshost.exe - Backdoor.Win32.SdBot.asy(Kaspersky) BackDoor.IRC.Evil(DrWeb)
C:\WINDOWS\calc.exe - Trojan-Spy.Win32.Webmoner.ct(Kaspersky) Trojan.Spy.Webmoner.CV(BitDefender)
Это тот, кто менял номер кошелька.
Угу, уже нормально. Забыл сказать в первом посте, что тогда, при копировании, ОС жаловалась на "can`t open clipboard"
C:\Documents and Settings\Администратор\Мои документы\Авто\Программы\Almi\ct25(температурный). zip - Trojan.Pws.Ldpinch.RT(BitDefender)
Этот "помог" в уводе Вашей ICQ.
Это 100%? Дело в том, что автора знаю лично ... не могу поверить.
Все удалены.
Лихо, а в первый раз мне приходилось удалять вручную.
Диск "D" - CD/DVD привод?
да.
С таким отношением к безопасности Вы //наверное// еще вернетесь к нам.
Могу ли я пожертвовать некоторую сумму в поддержку проекта который меня регулярно выручает?
Это 100%? Дело в том, что автора знаю лично ... не могу поверить.
Если учесть,что основная задача "пинча" воровать пароли то думаю,что 100% и не обязательно вам дал её знакомый,вы могли его выловить где угодно.
Сообщение от hash
Могу ли я пожертвовать некоторую сумму в поддержку проекта который меня регулярно выручает?
спасибо конечно,но лучше бы вы вложили эти средства в лицензионное ПО и позаботились о своей безопастности
Советую работать за компьютером под пользователем с ограничеными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Чего-то проблемы не заканчиваются. 11 сентября сын словил целый ворох вирусов, и скорее всего под IE (я пользуюсь IE только в тех случаях когда регистрация из-под firefox невозможна, к сожалению таких форумов много).
Так вот, вначале пытался побороть бяку сам, из system32 выкинул добрую дюжину неизвестных файлов со свежей датой, большинство из котоых Dr.web в онлайне признал как зараженными. Прогонял несколько раз через avz и drweb в офлайне - что-то постоянно находится и удаляется. Меня беспокоит то, что с моего компьютера постоянно что-то выкачивается и закачивается в него без моего ведома, причем на этот процес не влияют меры по удалению обнаруженных вирусов. Стоит войти в сеть как вижу растущий исходящий трафик.
Челом бью - помогите. Аську уже украл кто-то, и просил деньги у всех из контакт-листа. Теперь вот с этим выкачиванием даже не знаю что ожидать.
Да вроде уже говорили что делать заплатки ставить на дырки, до сих пор же SP1, это естественно Как я понял, ребёнок и вы под админом работаете за компьютером- вот и всё липнет
нужно под ограниченным юзером заходить в систему и вам
и ребёнку .
. Пароль админа ребёнку не давать.
Tеперь придётся начинать лечение сначала:
1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Карантин отправил.
Обновление до SP2 немного страшит, был случай у знакомого что система после патча рухнула вообще, с сети мне его не выкачать, т.к. весит много, придется искать на пиратских дисках.
По поводу карантина:
C:\WINDOWS\system32\drivers\Aen49.sys - Rootkit.Win32.Agent.ea, Trojan.NtRootKit.371
C:\Documents and Settings\All Users\Документы\Settings\bot.dll - Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371
По поводу карантина:
C:\WINDOWS\system32\drivers\Aen49.sys - Rootkit.Win32.Agent.ea, Trojan.NtRootKit.371
C:\Documents and Settings\All Users\Документы\Settings\bot.dll - Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371
Это хорошо, но все равно что-то выкачивают из меня.
После выполнения второго скрипта из темы стал выскакивать "мастер установки нового оборудования". Какое новое непонятно, в списке диспетчера находится в строке "неизвестное устройство".
Последние логи приложил.
P.S. Почему файл svchost.exe из system32 имеет дату и время изменения соответствующую моменту заражения: 11 сентября 21:46?
Функция IoEnumerateDeviceObjectList (804D4A1A) - модификация машинного кода. Метод не определен., внедрение с байта 15
Функция IoGetLowerDeviceObject (804D4999) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция IoInitializeIrp (804D483C) - модификация машинного кода. Метод не определен., внедрение с байта 6
Функция KeInsertHeadQueue (804D47FF) - модификация машинного кода. Метод не определен., внедрение с байта 5
Функция MmQuerySystemSize (804D4B2E) - модификация машинного кода. Метод не определен., внедрение с байта 2
модификация машинного кода ... звучит угрожающе.
И еще, по поводу мер. Где можно рулить правами гостей на компьютере? Что им можно, что нельзя. А то гость вообще в интернет не может выйти, и закладки в избранном поисчезали.
Добавлено через 12 минут
Сообщение от AndreyKa
C:\Documents and Settings\All Users\Документы\Settings\bot.dll - Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371
Что значит подпись "прямое чтение" под соответствующим файлом в окне сканирования? Достаточно ли этого чтобы признать файл вирусом и удалить его? Дело в том что под файлом bot.dll надпись "прямое чтение" я видел, но прямого указания что это вирус не было, от того он и не удалялся программой. Поэтому вопрос: кем (чем) было определено что файл "bot.dll" является:
Trojan-Proxy.Win32.Xorpix.b, Trojan.NtRootKit.371
?
Последний раз редактировалось hash; 18.09.2007 в 22:30.
Причина: Добавлено
Ха! Опять та же песня.
Вчера установил в браузер онлайн-проверку от ДрВеб, а сегодня при проверке одной из ссылок на сайте http://www.akhtuba.vistcom.ru/ firefox захлопнулся, а при второй попытке выпал в синий экран смерти. Опять в system32 появился примерно тот же набор зараженных файлов, опять bot.dll, и опять svchost.exe:ext.exe, и еще куча. Но появились и новые, например delsyb.sys (возможно вру в названии, но в соседней ветке он упоминался). Файл svchost.exe:ext.exe невидим, и не убивается. В заражение от 11.09.2007 он был прибит ДрВеб`ом при сканировании в безопасном режиме, и предыдущие логи были без него, а теперь ДрВеб его не видит, хотя версия использовалась та же. Еще вагон вирусов, большинство явных удалил вручную.
Повторил предложенные скрипты из этой ветки.
С трудом верится что все вири залезли за то недолгое время что я был на названном сайте, такое впечатление что они возродились из моего компа по команде извне. Опять пополз исходящий трафик. Логи сняты после всех ручных операций.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: