только что странные вещи произошли

[lik]

Может, это новая зараза... т.к. в поисковых ничего пока не нашла.

Пока ничего не делаю на компе, в том числе не перезагружаю.

Я посетила с ИЕ7 сайт гимназии gm144точкаru (скрипты отключите!!!), и вылетели сообщения от "типа XP Defender Pro Firewall Alert", что у меня куча троянов и пр.

У меня отключена защита дефендера.

Скрипт на сайте, вроде, говорят, ничего вредного не содержит кроме вызова флэши.

А файлы, о которых мне говорит якобы Defender, в ппках не существуют.

Вот пока сижу смотрю на сообщения. Думаю, с чего начать..

Может, кто-нибудь, уже встречался с подобной гадостью и сразу подскажут что делать?

стоит ХР SP3? керио, КИС2010 (но часть модулей, которые с керио не совместимы отключены).

Логи буду делать чуть позже..

В файле вид экрана (каспер и центр безопасности-мои окна, остальные-подозрительные)

Извиняюсь, рисунок получился не очень качественный.

Но там сообщения первые были о том, что мои браузеры заражены трояном

[lik]

Может, это новая зараза... т.к. в поисковых ничего пока не нашла.

Пока ничего не делаю на компе, в том числе не перезагружаю.

Я посетила с ИЕ7 сайт гимназии gm144точкаru (скрипты отключите!!!), и вылетели сообщения от "типа XP Defender Pro Firewall Alert", что у меня куча троянов и пр.

У меня отключена защита дефендера.

Скрипт на сайте, вроде, говорят, ничего вредного не содержит кроме вызова флэши.

А файлы, о которых мне говорит якобы Defender, в ппках не существуют.

Вот пока сижу смотрю на сообщения. Думаю, с чего начать..

Может, кто-нибудь, уже встречался с подобной гадостью и сразу подскажут что делать?

стоит ХР SP3? керио, КИС2010 (но часть модулей, которые с керио не совместимы отключены).

Логи буду делать чуть позже..

В файле вид экрана (каспер и центр безопасности-мои окна, остальные-подозрительные)

Извиняюсь, рисунок получился не очень качественный.

Но там сообщения первые были о том, что мои браузеры заражены трояном

комп пока перезагружать боюсь :-)

cureit сразу после запуска говорит, что "при сканировании были обнаружены вирусы (RC=514)" и все, больше ничего не проверяет.

логи сделала без перезагрузки системы:

avz_log.rar

avz_sysinfo.zip

hijackthis.rar

avz_log.rar

avz_sysinfo.zip

hijackthis.rar

[akoK]

На картинке активный зловред-вымогатель

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

[lik]

На картинке активный зловред-вымогатель

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

на зараженном компе программа не запускается..

на зараженном компе программа не запускается..

может, есть portable версия? без установки? или можно установить на одном компе и взять папку и запустить на др компе? (как авз)?

в авз-логе написано что-то про нарушение ассоциаций с расширением exe..

авз запустился

а вот этот установочный файл нет..

[lik]

скачала ремувбл утилиту с сайта касперского.

она тоже не запустилась, но о, счастье, наконец-то проснулся родной Касперский.

и сказал, что проводник пытается запустить ave.exe

и назвал этот троян.

trojan.win32.FraudPack.aovc

так-с..осталось его убить..хм..

[snifer67]

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

- Выполните скрипт в avz

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\documents and settings\dimka\local settings\application data\ave.exe','');TerminateProcessByName('c:\documents and settings\dimka\local settings\application data\ave.exe');DeleteFile('c:\documents and settings\dimka\local settings\application data\ave.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ExecuteRepair(1);RebootWindows(true);end.

- ПК перезагрузится.

- Выполнить скрипт в AVZ.

var qfolder: string; qname: string;begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false);end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

- Сделайте новые логи.

[lik]

значит новая модификация лже-антивируса с деструктивными действиями..

сейчас как раз MS проводят апдейты ОС с возможностью проверки вирусов их внутренним антивирусом.

спасибо.буду делать

а еще вопросик - можно ли узнать механизм заражения?

чтобы обезопасит себя.

недавно обновление операционки сделали, и , вроде, уж не ИЕ6..

ИЕ редко юзаю, но он вызвался именно по умолчанию (обработка гиперссылок)

[lik]

---------------------

в итоге, что получилось..

авз запустился только "от имени..." текущей учетки (через контекстное меню)

первый скрипт выполнился без создания карантина (в папке было пусто).

после перезагрузки не запустился керио, не запустился касперский

и вообще ничего не запускалось.

кроме авз (описано выше как), второй скрипт тоже выполнился без ошибок, но лучше не стало.

видимо, повредились системные файлы, учетная запись...

пришлось переписать образ системного диска (решила, что это самый быстрый выход из сложившейся ситуации).

спасибо всем, кто откликнулся.

будете еще какая информация-пишите.

[snifer67]

можно ли узнать механизм заражения?

Через дыры в системе, необновленное ПО, зараженные сайты.

[lik]

Через дыры в системе, необновленное ПО, зараженные сайты.

насчет обновления - совсем недавно обновила.

Остальное более менее ясно.

Почему только Касперский сразу не блокировал вредоносные действия..

[Yezhishe]

Почему только Касперский сразу не блокировал вредоносные действия..

Потому что продукция Лаборатории Касперского не является истиной в последней инстанции. Точно так же она не является лучшим антивирусником, известным на этой планете... Только поэтому.

Меньше внимания рекламе - больше внимания собственным действиям...

[neziticxpen]

Тоже тока что встретил ету фигню у знакомой на компе пришлось лесть через ТимВивер а у нею еще не полные права в итоге нашол в Документах AVE.exe который прятолся под видом сис файлов убил и в реэстр залез тоже его убил там сторчка была типа %Start %1%% или чтото вроде етого и теперь на связь она не выходит наверно тоже ХР слетела

Если кто знает как боротся так чтоб система живая оставалось пишите)

i

Уведомление:

Мы знаем, как бороться.

У нас тут целый раздел для этого создан. На будущее: крайне не рекомендуется что либо писать в разделе лечения если вы не создатель топика, либо не специалист по борьбе с вирусной заразой.

Edited March 17, 2010 by edde

[Мартовская кошка]

Потому что продукция Лаборатории Касперского не является истиной в последней инстанции. Точно так же она не является лучшим антивирусником, известным на этой планете... Только поэтому.

Меньше внимания рекламе - больше внимания собственным действиям...

ну сколько людей столько и мнений. Очень многие пользуются Каспером и довольны. И если бы он не был одним из лучших, то навряд ли им бы удалось удержаться. Конкуренция не малая. Лучший-не лучший, но многим антивирусам до него еще очень далеко. А на фоне КИС 2010, так вообще большинство антивирусов отдыхает. ИМХО.

i

Уведомление:

Вот для кого интересно постом выше висит уведомление? получите сударыня штраф

Edited March 17, 2010 by edde