enewsletterpro.exe - Trojan.Win32.StartPage.aha
kl.exe - Trojan-Spy.Win32.Agent.jl
tool2.exe - Hoax.Win32.Renos.an
tool3.exe - Packed.Win32.Klone.b (Trojan.Galapoper)
Между делом я бы посоветовал поставить другой антивирус.
enewsletterpro.exe - Trojan.Win32.StartPage.aha
kl.exe - Trojan-Spy.Win32.Agent.jl
tool2.exe - Hoax.Win32.Renos.an
tool3.exe - Packed.Win32.Klone.b (Trojan.Galapoper)
Между делом я бы посоветовал поставить другой антивирус.
Под снос их?
Между делом, я бы послушал. ?
msctl32.dll - SpamTool.Win32.Mailbot.s
dqsynth.dll и компания - AdWare.Win32.Look2Me.ab
КОнечно под снос. Я бы поставил временно бету КАВ2006. Можно взять на форуме http://forum.kaspersky.com/index.php?showforum=15 она и Look2Me снесёт и остальное. А потом можно будет сменить на что-то другое т.к. бетка иногда глючитСообщение от ulet
От KAV у меня не очень хорошие воспоминания, но спасибо попробую.
Хотя бы временно полечить комп. Я проверял, он знает всё что прислано. А многие другие антивирусы далеко не всё.Сообщение от ulet
Да уж согласен, NAV вчера обновил, а он ничерта не видит. Хотя судя по ссылкам в инете тому же Look2Me уже год.
Ладно утро вечера мудренее, продолжу ковыряние.
NAV выкинуть. а Look2Me - это целое семейство, которое постоянно обновляется и совершенствуется.Сообщение от ulet
По поводу KAV. Он потом следов то не оставит?
AVZ мышиный драйвер определяет как 99% кейлодер. ?
А на что ещё (из полезного) он делает стойку.
пришлите этот файл по уже известному адресу - стойку делать перестанет.Сообщение от ulet
Последний раз когда смотрел он деинсталировался без проблем.Сообщение от ulet
Yo, Cool, Rules Я начинаю менять отношение к KAV. Какой он шустрый стал. Багов правда до чёрта. Look2Me снёс вчистую и всё что выше перечислено. Завтра посмотрю логи.
Только если сможет перехватить в момент установки, вытащить уже "засевшую" не может.Сообщение от SDA
Значит ещё C:\WINDOWS\system32\drivers\i386p.sys должен сидеть по соседству, его тоже в мусорку.Сообщение от Geser
Последний раз редактировалось RiC; 10.01.2006 в 09:43.
да, есть там такой. я только написать забыл. все равно запрошенные мной файлы никто не ищет ;(Сообщение от RiC
Неправда ваша, что просили и что нашёл, то отослал, на http://www.virusinfo.info/index.php?page=upload_clean. Это у вас почта непроходит.запрошенные мной файлы никто не ищет ;(
После KAV i386.sys, я думаю присылать бессмысленно.
Сегодня попробую прислать мышиный драйвер, на который у AVZ была стойка. Имя архива "Genius".
Подробный отчёт о результатах чуть позже.
давайте проголосуем - кто из присутствующих видел присланные файлы?Сообщение от ulet
На почту пришло 2 архива
первый пришел сразу после появления темы, во втором были файлы созданные в текущий день (по твоему запросу). файлы из моего перечня (ни один) не приходили, хотя наверняка должны быть. хотя бы winlogon.exe :-)Сообщение от Geser
Значит так. XP SP2 IE6 установлена 28.12.05!!!
Видимые симптомы у больного были такие: При выходе в интернет, спонтанно появлялись флешбанеры со всякой байдой, периодичностью примерно пять минут. Стартовая страница поменялась на Secure32.html. В корневой директории C:\ появились несколько новых файлов.
Лечение:
Обработан Ad-Aware pro 6.181. Найдено в реестре 41 изменение с предупреждением "атака на браузер"
HLM\Software\Microsoft\Internet Explorer\Main значение SearchAssistant
HLM\Software\Microsoft\Internet Explorer\Search значение SearchAssistant
HCU\Software\Microsoft\Internet Explorer\Main значения Search Page, Search Bar, Default_Search_URL
Найдены 2 объекта в C:\WINDOWS\system32\drivers\etc\hosts тип Hosts file
Удалены.
Обработан NAV. Найдены и частично помещены в карантин:
Trojan-Downloader.Win32.Adload.j
AdWare.Win32.Zestyfind
AdWare.Win32.Look2Me.ab
Удалены частично:
Trojan.Win32.Harnig.a
Hoax.Win32.Renos.an
Trojan.Win32.StartPage.aha
Trojan-Spy.Win32.Agent.jl
Packed.Win32.Klone.b
Вручную в т.ч. с использованием AVZ, Spybot - Search & Destroy, были удалены (заблокированы) ещё ряд подозрительных файлов (большой список), подчищен реестр, на основные адреса включена блокировка.
Результаты есть но неочевидные.
AVZ определил драйвер мыши как кейлодер!?
Обработан KAV2006beta.
Найдены все вышеперечисленные и:
SpamTool.Win32.Mailbot.s
Trojan-Downloader.Win32.PassAlert.i
Удалены все части и ключи обнаруженных, почищен реестр.
Кроме того в сносе остались:
Настройки рабочего стола,
Некоторые архивы повреждены,
Мышиный драйвер, (установлен стандартный Windows, драйвер с установочной дискеты не вызвал эмоций у KAV)
Настройки IE,(частично)
Полностью удалены кукисы,
Изменены свойства соеденения, (незначительно)
Изменены настройки некоторых программ (незначительно, скорее всего поставлены в default)
Вероятно список неполон
Более подробно о проблеммах KAV, я напишу разработчикам.
После KAV проверка AVZ показала (впрочем как и до KAV):
READMEICON.htm - PE файл с нестандартным расширением
Macromedia_Dreamweaver_8.exe - Подозрение на Virus.Win32.PE_Type1
NewShortcut4_D51534F2D70441A69D49A518D2760027.htm - PE файл с нестандартным расширением.
Мышь, с заново установленными драйверами, переслала быть кейлодером (вероятно первоначальный драйвер был заражён)
В общем любое лекарство имеет свою горечь.
Вывод: Лучше надеть презерватив, чем через неделю есть пилюли.
Спасибо за поддержку.
PS: Не злитесь. Архивы сегодня пришлю повторно.
Последний раз редактировалось ulet; 11.01.2006 в 00:25.
в реестре, кстати, мусорок остался.Сообщение от ulet
такой еще вопрос возник - сайт www.apeha.ru сами в избранное ставили?
остаток от инсталляцииСообщение от ulet
желательно прислать на [email protected] для анализаСообщение от ulet
мы не злимся. просто представьте себе такую ситуацию в медицине: врач просит принести анализы, а ему показывают пустую баночку. ну и как тут лечить?Сообщение от ulet
кстати, судя по логам AVZ, файл
C:\WINDOWS\system32\drivers\i386p.sys
все еще в наличии...
Уважаемый(ая) ulet, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.