Приветствую уважаемых профессионалов.
Боюсь, или система моя окривела или руки скрючились, или стал я жертвой хитроковарных злобных и тайных нечеловеческих вирусов.
С чего началось - подозрительно долгая загрузка. Невероятно долгое выключение системы. И Outlook Express, неотправляющий письма, точнее отправляющий криво, письмо уходит, вылезает сообщение об ошибке с пустым полем и письмо остаётся в папке "исходящие".
Проверил диски и файловую систему на ошибки - всё нормально.
Просканировал всё DrWeb - чисто.
Outpost Spyware Scanner нашёл какие-то вредные куки, среди них какой-то "proxy". Заблокировал их (понять что это было сложно, я их снёс с перепугу)
Дальше просто на всякий случай просканировал Каспером он-лайн и он в почтовых базах нашёл каку Win32/Bagle.AS.
После этого я обратился в ТП DrWeb и прислал им логи HijackThis (эти логи , сделанные до чистки сохранены), куски реестра и прочее, что просят на http://www.drweb.ru/faq/26/.
В результате переписки там не нашли ничего активно злобного.
Поставил себе NOD 32. С его помощью нашёл где в почте живут гады и удалил письма эти. Вообще удалил всё подозрительное из почты.
На какое-то время всё нормализовалось с почтой. Потом опять началось....
Просканировал систему с помощью АVZ.
Просканировал диски с помощью АVZ. Нашлась всякая зараза на дисках. (лог avz_log disk scanns 290906-01.txt приложен)
Очистил кэши и куки (во всяком случае попытался)...
Из-за подозрений на кривую совместную работу снёс Outlook Express, Outpost и DrWeb.
Поставил Outpost 4. Он тут же выдал ложное срабатывание при сканировании системы на spyware - проверено www.virustotal.com
Вернул Outlook Express, ещё раз перепроверил все почтовые базы.
Снёс NOD 32. Поставил DrWeb.
Поставил настройки защиты spiderguard на максимум, отключил постоянную защиту в Outpost - в результате система перестала загружаться - после ctrl-alt-del и ввода пароля - чёрный экран со стрелочкой. Час ожидания, ресет.
Отрулил с грехом пополам (не грузилась даже в safe mode - улетала в ресет - а откат-то выключен) настройки на средние правкой ini и удалением key из папки drweb.
В Outpost выключил проверку почты и постоянную защиту системы... Работает только spidermail.
Проблема с Outlook Express никуда не делась...
Ещё. Сегодня пытался проверить один из подозрительных для AVZ файлов (Mr Bean screensaver 1.1uninstall.exe >>> подозрение на Backdoor.Win32.PlayX) при помощи www.virustotal.com - нахожу файл, нажимаю на него, чтобы отправить на проверку и тут же вылезает сообщение Outpost про изменение компонентов Internet Explorer, в основном dll. (Скриншот "Strange process.jpg" приложен)... Virustotal упорно этот файл его именем не называет, называет его как-то вроде "_____50", и пишет ОК...
Просканировал AVZ и HijackThis - результат во вложении. В результате работы AVZ образовался файл "virusinfo_cure.zip" - тоже прилагаю.
Да. Система живёт на RAID 0. Но диски вроде здоровы - проверял же с самого начала...
Система не перегревается. Не разогнана. (antiwpa - лечилка активации ХР, tablet - у меня графический планшет Wacom, это его драйверы)
Очень хочется разобраться, в чём проблема, помогите пожалуйста.
Последний раз редактировалось ryaboo; 02.10.2006 в 01:34.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
сообщение Outpost про изменение компонентов Internet Explorer, в основном dll. (Скриншот "Strange process.jpg" приложен)... Virustotal упорно этот файл его именем не называет, называет его как-то вроде "_____50", и пишет ОК...
что-то не нашел никаких скриншотов в аттаче
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = "C:\Program Files\Outlook Express\msimn.exe"
у вас оутлук стартует автоматом при выходе в интернет?
пофиксите в HijackThis следующие строки:
O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)
O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O16 - DPF: {4F63D44B-6274-4D60-8AB1-CAA7116B8AF3} (A9Helper.A9) - FILE://
O23 - Service: GEARSecurity - Unknown owner - C:\WINDOWS\System32\GEARSec.exe (file missing)
пришлите на исследование файлы по правилам форума:
W:\Soft\Finereader80p\Reader\Crack\Crack\ABBYY_Fin eReader_Version_8.x_Crack.exe
W:\__Pictures\Corel Cliparts\5\_BITMAPS\CARTOONS\RADIO1.TIF
W:\__Pictures\Клипарт\FANTASY-Обнови и укрась свой Windows 2001\ScreenSaver\EraserHead\Eraserheaduninstall.ex e
W:\__Pictures\Клипарт\FANTASY-Обнови и укрась свой Windows 2001\ScreenSaver\Mr Bean\Mr Bean screensaver 1.1uninstall.exe
c:\3dsmax8\mentalray\satellite\raysat_3dsmax8serve r.exe
Строки пофиксил, файлы не аттачатся - превышен максимально допустимый размер для вложений на форуме. А пара из клипарта имеет поразительно похожие размеры, но я ими не пользовался..
файлы не аттачатся - превышен максимально допустимый размер для вложений на форуме.
Файлы надо присылать в соответствии приложения 2 правил форума.
8. Загрузите полученный архив по адресу https://virusinfo.info/upload_virus.php , указав в поле "Ссылка на тему" ссылку на открытую Вами тему (ссылка должна быть вида httр://virusinfo.info/showthread.php?t=ХХХХ).
Файл сохранён как 061002_042120_virus_4520cc0019522.zip
Размер файла 59996
MD5 2caa958bc4c017860765b6fee91594b8
И ещё - сегодня Outpost выдал: 11:27:42 Предотвращена попытка изменения файлов Outpost Firewall Pro. Приложение: Content Index service, Путь: C:\WINDOWS\system32\cisvc.exe
Век живи, век учись и дураком помрёшь...
Проблему странностей с почтой видимо пофиксил. Спасибо Winny с http://forum.drweb.ru и БГ http://support.microsoft.com/kb/903095/en-us
Осталось понять про всё остальное - что это моя параноя или всё же вирусное заболевание моего агрегата?
Уважаемый(ая) ryaboo, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: