Показано с 1 по 4 из 4.

посторонний траффик + скрытое (в фоновом режиме) посещение порносайтов (заявка № 6169)

  1. #1
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    45

    Angry посторонний траффик + скрытое (в фоновом режиме) посещение порносайтов

    Зайдя на один плохой сайт, получил предупреждение от Control-Centre
    Касперского. После чего заметил посторонний траффик, а также в
    журнале Internet Explorer-а наблюдаю ежеминутное добавление адресов
    порносайтов в списке посещенных URL, причем явно эти сайты не открываются,
    т.е. я не вижу никаких самостоятельно открываемых окон, все происходит в
    фоновом режиме. В журнале каждую минуту добавляется новый URL и одновременно
    происходит отправка и прием траффика в интервале 50-250 Кб.

    Запустил Касперского (без расширенных баз), обновил базу, включил
    сканер, он ничего не обнаружил (до этого Касперского регулярно обновлял
    и сканировал все файлы).
    Хотя Control-Centre Касперского через некоторое время нахождения
    компьютера в подключенном к интернету состоянии обнаружил и вылечил
    вирус (видимо загрузился с одного из порносайтов), я отключился от
    интернета, но Control-Centre Касперского продолжал с интервалом в 10
    минут выдавать сообщения вида:

    Файл: C:\DOCUME~1\Alex\LOCALS~1\Temp\Script_003bdd1b.htm l
    Инфицирован вирусом: Exploit.Win32.MS05-013.gen
    Объект вылечен

    в каждом новом сообщении указывался один и тот же путь к файлу, лишь в
    названии самого файла менялись цифры и буквы между "Script_" и ".html"
    Зашел в папку "Temp", но не обнаружил там ни одного файла с расширением ".html"
    несмотря на это сообщения продолжали выдаваться весь день каждые 10 мин.
    Повторное сканирование Касперским на следующий день также не обнаружило ни одного вируса.
    Но вышеописанных сообщений уже не появлялось.

    Сканирование при помощи утилиты Drweb-CureIT так же не дало никаких результатов.

    AVZ не нашел вредоносных программ, но указал на:
    Нестандартный префикс по умолчанию в IE: "http://htpp.ws?"
    Нестандартный префикс для WWW в IE: "http://htpp.ws?"
    Нестандартный Default префикс в IE: "http://htpp.ws?"
    Я зашел в реестр и исправил префикы на "http://", кроме первого, который "по умолчанию",
    потому как там в поле значения было: "(значение не присвоено)" и я его оставил
    неприсвоенным. Несмотря на это, после непродолжительного времени соединения с
    интернетом префиксы опять подменяются на "http://htpp.ws?" и открытие порносайтов
    в фоновом режиме не прекращается.

    По инструкции с Virusinfo отключил восстановление системы, сделал первый лог
    AVZ, перезагрузился, сделал второй лог, сделал лог HijackThis, включил
    восстановление системы.

    На всякий случай делал скриншоты сообщений Касперского, журнала IE, и т.п.
    При необходимости, могу их прислать.
    Выкладываю три лога, как написано в инструкции.

    Очень надеюсь на помощь экспертов.

    Спасибо, что есть такой ресурс, как Virusinfo.info
    Последний раз редактировалось Алек; 15.07.2010 в 08:58.

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    551
    Пришлите как написано в правилах -
    C:\Program Files\PViever\pviever.exe
    C:\WINDOWS\system32\NVRTCLK\NVRTClk.exe
    C:\WINDOWS\system32\nvraidservice.exe

    Перегрузитесь в SafeMode и сотрите каталог
    C:\Program Files\PViever\

    После перезагрузки в нормальный режим запустите Hijack и пофиксите строки -
    O4 - HKLM\..\Run: [PViever] "C:\Program Files\PViever\pviever.exe" hide
    O15 - Trusted Zone: toysshop.ibox.ru
    O15 - Trusted Zone: *.impulse-auto.ru
    O15 - Trusted Zone: impulse-auto.magazinchik.ru
    O16 - DPF: {11260943-421B-11D0-8EAC-0000C07D88CF} (iPIX ActiveX Control) - http://www.ipix-i.com/download/ipixx.cab

    PS: NVRTClk.exe и nvraidservice.exe - трогать пока не нужно

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    551
    Проблемы закончились ?
    Собственно PViever http://virusinfo.info/showpost.php?p...&postcount=111 и есть порнокрутилка.

  5. #4
    Junior Member Репутация
    Регистрация
    05.09.2006
    Сообщений
    92
    Вес репутации
    45
    RiC, огромное спасибо!

    Эта гадина уничтожена и проблема решена!

    С радостью отправил пожертвования на поддержание проекта

  • Уважаемый(ая) Алек, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 7
      Последнее сообщение: 17.11.2011, 21:03
    2. Ответов: 17
      Последнее сообщение: 10.01.2010, 14:34
    3. iPhone сможет запускать приложения в фоновом режиме
      От SDA в разделе Лечение и защита мобильных устройств
      Ответов: 0
      Последнее сообщение: 18.05.2009, 13:53
    4. Ответов: 7
      Последнее сообщение: 17.02.2009, 19:16
    5. Ответов: 4
      Последнее сообщение: 29.01.2008, 19:21

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00775 seconds with 16 queries