-
Что-то ломится в инет, на разных страницах одинаковый баннер
Доброго здоровья, друзья!
Сегодня в первом часу ночи перегрузившись и подключив Интернет-соединение заметил, что моя машина что-то отсылает и что-то одновременно принимает. Примерно 350 б/с. До этого не замечал (качаю постоянно).
Еще недавно заметил, что на некоторых заново загружаемых страницах появляется ОДИН И ТОТ ЖЕ БАННЕР(!!!) в виде функции поиска с уже значащимся в "строке поиска" значением, недавно используемой мной строки поиска! Ссылка баннера: хттп://quad.yadro.ru/last/webalta2.url, объект сохраняется в HTML файл "webalta.htm" размером 5395 b. Могу прислать этот файл и картинку баннера.
Нашёл интересные строчки в "ntbtlog.txt":
Loaded driver \??\d:\Temp\tmp\8qkAEJRl.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\uzmznzy3.sys
Loaded driver \??\C:\WINDOWS\system32\Drivers\uzm2oda1.sys
Интересно: откуда сие пришло? Качалки "BitSpirit" и "Orbit"? Они? И что это за файлы?
Высылаю логи по правилам.
Жду ответа!
Спасибо!
Последний раз редактировалось serjga; 22.06.2009 в 15:52.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Файлики которые вас заинтересовали,это запчасти от алкоголя
1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
QuarantineFile('C:\Documents and Settings\Serjga\Главное меню\Программы\Автозагрузка\inet.lnk','');
end.
После выполнения скрипта компьютер перезагрузится.
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=13959
2.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )
Код:
O2 - BHO: (no name) - {140BD8E3-C167-11D4-B4A3-080000180323} - (no file)
-
-
Что из этого нужно ?
Код:
>> Службы: разрешена потенциально опасная служба TermService (Службы терминалов)
>> Службы: разрешена потенциально опасная служба SSDPSRV (Служба обнаружения SSDP)
>> Службы: разрешена потенциально опасная служба Messenger (Служба сообщений)
>> Службы: разрешена потенциально опасная служба Alerter (Оповещатель)
>> Службы: разрешена потенциально опасная служба Schedule (Планировщик заданий)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Диспетчер сеанса справки для удаленного рабочего стола)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя
Что не нужно скриптом отключим.
-
-
Файл, который Вы просите в карантин - есть ни что иное, как линк на подключение интерента )))
"Файлики которые вас заинтересовали,это запчасти от алкоголя" может и запчасти от алкоголя, но.. почему их содержание одинаковое при разном времени модификации? Причём первого - 1.06.07, а второго не далее, как сегодня в 1:10 ?
И в теле этих модулей есть надпись: "AVZ Monitoring driver.... LegalCopyright Zaitsev Oleg..." Я бы поостерёгся относить это к Alcohol120%.
И с чего бы алкоголю запускать "8qkAEJRl.sys" из d:\Temp\tmp\ ?
Добавлено через 23 минуты
Сделал всё, как Вы сказали.
Баннер присутствует
Один ключ удалился, а ещё 2 с этим значением в реестре - остались
Так что дальше?
Что-нибудь ещё прислать?
Жду ответа!
Спасибо!
Добавлено через 3 часа 16 минут
"После выполнения скрипта компьютер перезагрузится. " - НЕ перегрузился, кстати почему-то!
Последний раз редактировалось serjga; 08.11.2007 в 14:33.
Причина: Добавлено
-
-
-
Сообщение от
V_Bond
Я не понял: я работаю в обычном режиме, а там написано про невозможность загрузки обычным способом и описание теста в режиме защиты от сбоев. При загрузке у меня явных конфликтов НЕТ! Это не мой случай!
Жду ответа!
Спасибо!
-
При загрузке у меня явных конфликтов НЕТ! Это не мой случай!
В данном случае это не важно. Просто такой лог дает возможность увидеть кое-что, чего нет в стандартных логах.
I am not young enough to know everything...
-
-
Спасибо!!! Один момент...
Добавлено через 2 минуты
И что это за странные файлы, описанные в самом начале? Можно их снести из папки драйверов? Они имеют отношение к AVZ ?
Добавлено через 1 минуту
Не надо ли Вам прислать картинку баннера и тот файл HTML ?
Добавлено через 56 минут
не могу добавить файл
Добавлено через 5 минут
При попытке вставить отчёт пишет:
serjga, вы не имеете прав для доступа к этой странице. Это может быть вызвано несколькими причинами:
Ваш аккаунт имеет недостаточно прав для доступа к этой странице. Вы пытаетесь редактировать чье-то сообщение, использовать административные полномочия или прочие опции ограниченного доступа?
Вы пытаетесь написать сообщение, но ваш аккаунт отключен администрацией или ожидает активации.
Последний раз редактировалось serjga; 08.11.2007 в 16:26.
Причина: Добавлено
-
Глядя на эту страницу, нажмите в браузере "Обновить".
Потом кнопку "Ответить" внизу темы, "Управление вложениями" и т.д....
I am not young enough to know everything...
-
-
СПАСИБО!
вложил
Последний раз редактировалось serjga; 22.06.2009 в 15:52.
-
Ну как минимум с двумя подозреваемыми все ясно:
C:\WINDOWS\system32\Drivers\uzmznzy3.sys
C:\WINDOWS\system32\Drivers\uzm2oda1.sys
Это драйверы AVZ.
Надо выполнить Стандартный скрипт #6.
Добавлено через 8 минут
d:\Temp\tmp\8qkAEJRl.sys нигде в логах не фигурирует. Попробуйте разыскать его вручную. А повторяющийся баннер - наверно одна из ваших качалок имеет такие "адварные наклонности". Больше ничего подозрительного не видно.
Последний раз редактировалось Bratez; 08.11.2007 в 17:10.
Причина: Добавлено
I am not young enough to know everything...
-
-
А СЕГОДНЯ Эксплорер заменяет http://www.virustotal.com/ru на http://virustotal.pta.hispasec.com/ru/ и пишет, что не возможно загрузить страницу!
Только убрав "/ru" в конце строки смог загрузиться
ША ЗА ХРЕНЬ?
Можно ожидать подсказки? А то сча снесу всё и поставлюсь по-новой )))
Жду ответа!
Спасибо!
Удач !
-
Сделайте новый комплект логов по правилам.
I am not young enough to know everything...
-
-
сейчас с какого-то сайта загрузился и встал на установку mssrv32.exe
Я прочитал о нём в интернете.
Когда происходила атака - убивал появляющиеся новые процессы в диспетчере задач. Потом проверил реестр и наличие новых файлов. Его и обнаружил. Удалил из каталога. NOD32 молчит, хотя статью о вирусе читал ещё аж за август месяц!
Достаточно ли удаления файла из каталога до перезагрузки машины, чтобы не внедрить заразу в систему?
-
Повторите логи, узнаем всё
-
-
Сообщение от
Bratez
Сделайте новый комплект логов по правилам.
....
-
-
для ЭТОГО надо перегрузить машину!!!
ПРО ЭТО И СПРОСИЛ!
Ответ будет?
Просто есть ещё file[1].exe с таким же содержанием
Что-то запустилось и контролирует процесс?
-
Появится - удалим... перезагружайте
-
-
ООООООООоооооо!!! В VirusTotal кто его только не знает!!! Кроме NOD32 (((((
Сейчас пришлю сюда.
-
Вложил!
O17 - HKLM\System\CCS\Services\Tcpip\..\{85EA5B3C-267B-47A9-BFFB-BC0312C0CF71}: NameServer = 212.48.193.37 212.48.193.38
Что это?
Последний раз редактировалось serjga; 22.06.2009 в 15:52.