-
Junior Member
- Вес репутации
- 50
В мои посты на форумах вставляются спамы
Здравствуйте.
На протяжении несколких последних дней в мои сообщения (посты) на всех форумах сразу при открытии окна для введения текста в его конец самопроизвольно вставляются самые разные спамы в виде ссылок на интернет-ресурсы - например, такие [URL=_"http://file-loads.ru/"]минусовки скачать бесплатно без регистрации[_/URL] или [URL="http_://moby2480.com.ua/"]скачать flash игры[_/URL]
Одна деталь: в выставленных текстах сообщений эти ссылки не видны. На данном форуме в окно для введения текста они не "насыпались", но и в этом выставленном сообщении они (судя по preview) не видны, но в окне редактора сообщения видны как гиперссылки
.
Одна деталь: при заходе на форумы из-под Internet Explorer в каждый новый пост спам вставляется однократно и удаляется "физически", при заходе из-под Modzila Firefox спамы сыплятся в одно сообщение десятками как сразу после открытия окна для сообщения, так и после попыток их удаления. Modzila Firefox я снёс, но в Internet Explorer та же проблема осталась.
Я проверял все диски с помощью Kaspersky Crystal (лицензионная версия) и DrWeb Cureit - они ничего не обнаружили и не изменили. Восстановление системы из файла Backup.bkf также ничего не дало.
Буду крайне признателен за помошь.
Спасибо
P.S. При редактировании сюда тоже насыпалась спам-ссылки (вставил подчёркивания):
<_a href=http://moby2480.com.ua/ >cureit скачать<_/a>
<_a href=http://driwers.net/ >скачать фотошоп на русском бесплатно<_/a>
Последний раз редактировалось ipvl2008; 23.11.2010 в 23:25.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
C:\Program Files\Application Updater\ApplicationUpdater.exe
c:\programs\speedb~1\sblsp.dll
C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe
пришлите согласно приложения 2 правил
-
-
Junior Member
- Вес репутации
- 50
Здравствуйте.
По вашему запросу я отправил вам согласно приложения 2 правил файл virus.zip, однако за этим ничего не последовало.
В связи с чем согласно Приложению 3 правил спрашиваю: "получен ли <мой> карантин, или же загрузку следует повторить."
Спасибо.
-
Здравствуйте. Карантин получен. Куда логи AVZ испарились?
В дополнение сделайте лог MBAM
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
С MBAM не получилось - наверное, что-то недопонял.
Логи AVZ прилагаю повторно.
Спасибо.
Последний раз редактировалось миднайт; 25.11.2010 в 18:31.
Причина: удален карантин
-
В каком именно месте не получилось с mbam?
В AVZ выполните скрипт:
Код:
begin
ClearQuarantine;
{max heuristic level}
QuarantineFile('c:\program files\java\jre6\bin\jqs.exe','');
QuarantineFile('C:\Program Files\Anti-keylogger\Anti-keylogger.exe','');
QuarantineFile('C:\Program Files\Common Files\Spigot\Search Settings\SearchSettings.exe','');
QuarantineFile('C:\Program Files\GameFace Messenger\GameFace.exe','');
QuarantineFile('C:\Program Files\Searchster.Net\Searchster.Net.dll','');
QuarantineFile('C:\Program Files\SpeedBit Toolbar\Toolbar\SpeedBit.dll','');
QuarantineFile('C:\Programs\SPEEDB~2\TBU3A\grabber.dll','');
QuarantineFile('C:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll','');
QuarantineFile('C:\Program Files\SM\SubsHelperBHO.dll','');
QuarantineFile('C:\PROGRA~1\SEARCH~1\SEARCH~1.DLL','');
QuarantineFile('C:\Programs\SpeedBit Video Downloader\Toolbar\tbcore3.dll','');
QuarantineFile('C:\Program Files\ConduitEngine\ConduitEngine.dll','');
QuarantineFile('C:\Programs\SpeedBit Video Downloader\TBU3A\tbcore3.dll','');
QuarantineFile('C:\Program Files\Searchster.Net\MinBHO.dll','');
QuarantineFile('C:\Program Files\Searchster.Net\MinBHO.dll','');
QuarantineFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL','');
QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll','');
end.
Пришлите карантин по правилам.
Хлам в виде тулбаров от Ask com удалите через установку\удаление программ.
Базы обновите в AVZ, лог virusinfo_syscheck.zip переделайте.
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Здравствуйте.
Посылаю всё согласно последнего запроса.
Спасибо
-
Удалите в MBAM:
Код:
Зараженные модули в памяти:
C:\Program Files\Searchster.Net\MinBHO.dll (Adware.SkyMediaPack) -> No action taken.
Зараженные ключи в реестре:
HKEY_CLASSES_ROOT\kbbar.kbbarband (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{70ef8b2a-3a34-4913-aafc-5a2827e0b1b1} (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{ad49ce2b-b922-4e2a-aad9-c1565855c7bc} (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{c91bcf48-598c-48bc-a4a7-192cefc9068a} (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f334c7b0-8774-4d5b-bd7a-4f448d03a1ae} (Adware.SkyLab) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f334c7b0-8774-4d5b-bd7a-4f448d03a1ae} (Adware.SkyLab) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f334c7b0-8774-4d5b-bd7a-4f448d03a1ae} (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\kbbar.kbbarband.1 (Adware.SkyLab) -> No action taken.
HKEY_CLASSES_ROOT\minbho.showbarobj (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{27ba317e-7bbd-4ebe-a06a-47f076d9d6f7} (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{2574231f-9d6f-4b0e-9041-5dd7484564ad} (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{2863e737-dd3f-4280-9af8-e9e79c16f312} (Adware.SkyMediaPack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{2863e737-dd3f-4280-9af8-e9e79c16f312} (Adware.SkyMediaPack) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2863e737-dd3f-4280-9af8-e9e79c16f312} (Adware.SkyMediaPack) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2863e737-dd3f-4280-9af8-e9e79c16f312} (Adware.SkyMediaPack) -> No action taken.
HKEY_CLASSES_ROOT\minbho.showbarobj.1 (Adware.SkyMediaPack) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{19127ad2-394b-70f5-c650-b97867baa1f7} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{43bf8cd1-c5d5-2230-7bb2-98f22c2b7dc6} (Backdoor.Bot) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{494e6cec-7483-a4ee-0938-895519a84bc7} (Backdoor.Bot) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{f3fee66e-e034-436a-86e4-9690573bee8a} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{f3fee66e-e034-436a-86e4-9690573bee8a} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{f3fee66e-e034-436a-86e4-9690573bee8a} (Adware.WidgiToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{f3fee66e-e034-436a-86e4-9690573bee8a} (Adware.WidgiToolbar) -> No action taken.
HKEY_CURRENT_USER\Software\SkyMedia (Adware.SkyMedia) -> No action taken.
Зараженные параметры в реестре:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f334c7b0-8774-4d5b-bd7a-4f448d03a1ae} (Adware.SkyLab) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SharedDLLs\C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{f3fee66e-e034-436a-86e4-9690573bee8a} (Adware.WidgiToolbar) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.
Зараженные папки:
C:\WINDOWS\system32\lowsec (Stolen.data) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar (Trojan.Agent) -> No action taken.
Зараженные файлы:
C:\Program Files\Searchster.Net\Searchster.Net.dll (Adware.SkyLab) -> No action taken.
C:\Program Files\Searchster.Net\MinBHO.dll (Adware.SkyMediaPack) -> No action taken.
C:\Program Files\Common Files\Spigot\wtxpcom\components\WidgiToolbarFF.dll (Adware.WidgiToolbar) -> No action taken.
C:\Program Files\YouTube Downloader Toolbar\WidgiHelper.exe (Adware.WidgiToolbar) -> No action taken.
C:\Program Files\YouTube Downloader Toolbar\IE\4.1\youtubedownloaderToolbarIE.dll (Adware.WidgiToolbar) -> No action taken.
C:\Programs\Антивирусы\VirusInfo\avz4\Quarantine\2010-11-25\avz00006.dta (Adware.WidgiToolbar) -> No action taken.
C:\System Volume Information\_restore{B7A57459-9A19-4051-B3B7-19E244CD1991}\RP401\A0051501.rbf (Adware.WidgiToolbar) -> No action taken.
C:\System Volume Information\_restore{B7A57459-9A19-4051-B3B7-19E244CD1991}\RP401\A0051516.old (Adware.WidgiToolbar) -> No action taken.
C:\System Volume Information\_restore{B7A57459-9A19-4051-B3B7-19E244CD1991}\RP413\A0055118.exe (VirTool.Obfuscator) -> No action taken.
C:\WINDOWS\system32\lowsec\local.ds (Stolen.data) -> No action taken.
C:\WINDOWS\system32\lowsec\user.ds (Stolen.data) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\a.htm (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\after.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\aview (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\dir.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\dot.gif (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\htmlayout.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\logo.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\logo2.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\MyriadWebPro-Condensed.ttf (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\rules.css (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\sb-h-scroll-next.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\sb-h-scroll-prev.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\sb-scroll-back.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\sb-scroll-base.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\sb-scroll-slider.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\sb-v-scroll-next.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\sb-v-scroll-prev.png (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\scroll.css (Trojan.Agent) -> No action taken.
C:\Documents and Settings\Игорь\Application Data\winxrar\xsendexe.tmp (Trojan.Agent) -> No action taken.
Повторите лог MBAM
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Процедуру провёл, все указанные файлы удалил, при повторном запуске MBAM ничего инфицированного не обнаружено.
Однако проблема, с которой я сюда обратился, осталсь: по-прежнему на форумах (и только на них! - в почтовых отправлениях ничего нет) в окна редактирования сообщений сразу при их открывании вставляются спам-ссылки. Вот сейчас в данном окне присутствует такая ссылка: _moby2480.com.ua/ ]игра шахматы скачать бесплатно_
Возможно, спамер сидит не на моём компе, а в сети и вставляет "извне" свои ссылки в мои сообщения по IP-адресу при моём заходе на форуме. Как это проверить, если при отключённом интернете выходы на форумы невозможны?
Ваши рекоммендации? Нужна какая-то дполнительная сетевая защита? - напомню, что Касперский-Кристалл (официальная копия) на проверяемом компе стоит.
Ещё вопрос: могу ли использовать MBAM самостоятельно на других своих компах, чтобы лечить их? Или нужны обязательно консультации с вами?
Спасибо
Последний раз редактировалось ipvl2008; 26.11.2010 в 09:48.
-
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
Bratez
Сделайте новые логи.
Плз выложите скрипты для AVZ
Последний раз редактировалось ipvl2008; 26.11.2010 в 17:00.
-
Какие скрипты? Надеюсь, Вы выполнили указанное в сообщении #8?
Для контроля вас просили сделать новый лог МВАМ.
Ну и поскольку проблема осталась, сделайте логи по п.2 и 3 раздела Диагностика, будем дальше смотреть.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Спасибо за разъяснение.
Посылаю требуемые логи.
-
В AVZ выполните скрипт:
Код:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
RebootWindows(false);
end.
Компьютер перезагрузится. Что с проблемой?
Paula rhei.
Поддержать проект можно тут
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
миднайт
В AVZ выполните скрипт:
Код:
begin
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows','AppInit_DLLs','C:\PROGRA~1\KASPER~1\KASPER~1\mzvkbd3.dll,C:\PROGRA~1\KASPER~1\KASPER~1\kloehk.dll');
RebootWindows(false);
end.
Компьютер перезагрузится. Что с проблемой?
Проблема осталась, ничего не изменилось
-
C:\Program Files\Application Updater - это вам знакомо?
C:\Program Files\Common Files\Spigot - а это?
Когда у вас начались эти проблемы?
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
light59
C:\Program Files\Application Updater - это вам знакомо?
C:\Program Files\Common Files\Spigot - а это?
Когда у вас начались эти проблемы?
Не понял - в каком смысле "знакомо"? Если в смысле активного пользования ими - нет.
Проблемы начались неделю назад - после (возможно, вследствие) того, как на моём компьютере попытались с нескольких сайтов скачать Prompt9 и Avast отключал соедение из-за угрозы вирусной атаки.
-
Junior Member
- Вес репутации
- 50
Эй, народ, многоуважаемый "касперовчане"!
Пошто молчите? Проблема-то осталась!
Неужто она оказалась вам ненастолько интересной, чтобы пободаться с ней?
Или, не дай бог, она оказалась вам не по зубам? - спамер вас победил?
Увы мне...
С уважением...
-
Не понял - в каком смысле "знакомо"?
Устанавливали эти программы?
-
-
Junior Member
- Вес репутации
- 50
Сообщение от
snifer67
Устанавливали эти программы?
Сам - не устанавливал, но они стоят "по умолчанию".
И что с ними делать?