Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 25.

Неуловимый пакостник с pop-up'ами (заявка № 6198)

  1. #1
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42

    Неуловимый пакостник с pop-up'ами

    Завелся у меня на компьютере кто-то зловредный. Реагирует на открытие аккаунта на mail.ru стабильно, иногда меняет баннеры. Соответственно, всплывает всяческая порно-гадость. Откуда - непонятно, привычки шляться шже попало и открывать что ни попадя нет. Вариант - через осла или другие пользователи семьи что-то открыли (не признаются).
    Но это уже частности.
    Сканировал систему 3мя антивирями: Avast (стоял, не засек ничего), DrWeb(ознакомительный, что-то пытался фиксить с Win32.Hllm.perf.based, наудалял всякие странные файлы, но проблема не решилась), Nod32 (вообще глухо). В один момент пропал рабочий стол, AVZ это пофиксил, но я не разобрался, что же все-таки не так.
    В принципе, проблема касается скорее родичей, ибо они все пользую IE, а в Опере-то вся эта пакость не вылазит у меня.

    Логи прилагаются.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Пришлите в соответствии с Приложением 2:
    Код:
    C:\windows\system32\dpbmkcey.exe
    C:\Documents and Settings\All Users\Documents\Settings\arm32.dll
    И ещё пришлите для базы безопасных:
    Код:
    C:\WINDOWS\system32\amecsa.cpl
    Что у вас за "спасите ремонт" в планировщике?

  4. #3
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    >>C:\Documents and Settings\All Users\Documents\Settings\arm32.dll - нет такого. Остальные выслал.

    >>Что у вас за "спасите ремонт" в планировщике?

    Это будильник ) Александр Пушной - подводка к одноименной передаче.

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Раз файла нет, тогда можно сразу пофиксить (что найдётся после AVZ):
    Код:
    O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1064_XP.cab
    O16 - DPF: {5E4CD363-CEA5-4992-81FD-1E9C53EC305D} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1064_em_XP.cab
    O20 - Winlogon Notify: arm32reg - C:\Documents and Settings\All Users\Documents\Settings\arm32.dll (file missing)

  6. #5
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    К сожалению, не совсем понял, что надо сделать (

    AVZ ничего толком не находит.

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от ZhuckOFF
    К сожалению, не совсем понял, что надо сделать (
    AVZ ничего толком не находит.
    пофиксить указанные строки нужно с помощью программы HijackThis. как именно - читайте в разделе "Чаво"

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Цитата Сообщение от ZhuckOFF
    AVZ ничего толком не находит.
    egaccess4 она уже нашла и прибила. Поэтому первых двух строк может уже не быть.

  9. #8
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    Не помогло (

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1293
    Это так, очистка старого мусора была. Отзывов об активном зловреде от исследователей пока не было.

    Можно попробовать стандартный ход:
    - запустить AVZ
    - включить AVZ Guard
    - меню: Файл - Отложенное удаление файла
    - в поле Имя файла вставить:
    Код:
    C:\windows\system32\dpbmkcey.exe
    - нажать кнопку Открыть
    - не выходя из AVZ и не выключая AVZ Guard, отправить систему на перезагрузку

    После этого повторите логи с пункта 10.

    Правда, отсутствие побочных эффектов вроде пропадания рабочего стола я гарантировать не могу. Поэтому подождал бы сведений от аналитиков.

  11. #10
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от ZhuckOFF
    В принципе, проблема касается скорее родичей, ибо они все пользую IE, а в Опере-то вся эта пакость не вылазит у меня.
    закройте оперу, запустите IE, включите противодействие руткитам в программе AVZ, сделайте новые логи исследования AVZ (некоторые трояны загружаются в память только при запуске браузера). будем искать дальше.

  12. #11
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    Еще раз протестировал с включенным IE. Замечено, что ярлыки плодятся именно во время его работы. И NOD начал материться.
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    -пофиксить в HijackThis строки:
    Код:
    O4 - HKCU\..\Run: [Instant Access] rundll32.exe EGACCESS4_1064.dll,InstantAccess
    O16 - DPF: {04F414E9-E352-4BC3-963D-7BFE5A5F31A9} - http://scripts.dlv4.com/binaries/egaccess4/egaccess4_1064_XP.cab
    -воспользовавшись инструментарием AVZ удалить
    Код:
    C:\WINDOWS\system32\egaccess4_1064.dll
    C:\WINDOWS\system32\EGACCESS.dll
    C:\windows\system32\dpbmkcey.exe
    P.S. перед удалением не забудьте скопировать перечисленные файлы в карантин, и затем прислать согласно Правил... и ещё, удалите содержимое Temporary Internet Files
    Последний раз редактировалось Alex Plutoff; 12.09.2006 в 00:09.
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    вот что говорят про файл C:\windows\system32\dpbmkcey.exe разные антивирусные программы:

    Antivirus Version Update Result
    AVG 386 09.11.2006 Win32/CryptExe
    CAT-QuickHeal 8.00 09.11.2006 (Suspicious) - DNAScan
    Panda 9.0.0.4 09.11.2006 Suspicious file

  15. #14
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    Архив закачал, файлы на убиение поставил.
    Я еще вернусь )

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Alex Plutoff
    Регистрация
    05.02.2006
    Адрес
    Украина
    Сообщений
    1,728
    Вес репутации
    936
    Цитата Сообщение от ZhuckOFF
    Архив закачал, файлы на убиение поставил.
    Я еще вернусь )
    -ага, но обязательно со свежими логами
    С уважением,
    Alex Plutoff
    А. ПЛАТОВ

  17. #16
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    /me рычит

    Не помогло ( Опять те же чудеса.

    Вновь все просканировал...
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от ZhuckOFF
    /me рычит
    Не помогло ( Опять те же чудеса.
    Вновь все просканировал...
    пришлите файл C:\WINDOWS\system32\drivers\amon.sys

  19. #18
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    Закачал.

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для MOCT
    Регистрация
    09.09.2005
    Адрес
    Russia
    Сообщений
    1,718
    Вес репутации
    136
    Цитата Сообщение от ZhuckOFF
    Закачал.
    это файл от NOD32 (видимо вы его поставили на днях).

    файлы
    C:\WINDOWS\system32\egaccess4_1064.dll
    C:\WINDOWS\system32\EGACCESS.dll
    C:\windows\system32\dpbmkcey.exe
    снова ставьте на убиение.

  21. #20
    Junior Member Репутация
    Регистрация
    11.09.2006
    Адрес
    Москве
    Сообщений
    11
    Вес репутации
    42
    Вопрос.
    Я их убиваю... И все ведь повторилось.
    Я, конечно, еще раз попробую и логи пришлю )

  • Уважаемый(ая) ZhuckOFF, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Неуловимый вирус
      От afaix в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.01.2011, 15:58
    2. Неуловимый зловред
      От Мыш в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 08.12.2010, 09:31
    3. неуловимый smss.exe
      От Kacnep в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 16.12.2009, 14:44
    4. Неуловимый Get Accelerator!!!
      От Max S. Squit в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 10.12.2009, 21:28
    5. Неуловимый вирус
      От Acidorum в разделе Помогите!
      Ответов: 20
      Последнее сообщение: 17.06.2009, 12:50

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00870 seconds with 17 queries