lik Posted March 16, 2010 Report Share Posted March 16, 2010 Может, это новая зараза... т.к. в поисковых ничего пока не нашла. Пока ничего не делаю на компе, в том числе не перезагружаю. Я посетила с ИЕ7 сайт гимназии gm144точкаru (скрипты отключите!!!), и вылетели сообщения от "типа XP Defender Pro Firewall Alert", что у меня куча троянов и пр. У меня отключена защита дефендера. Скрипт на сайте, вроде, говорят, ничего вредного не содержит кроме вызова флэши. А файлы, о которых мне говорит якобы Defender, в ппках не существуют. Вот пока сижу смотрю на сообщения. Думаю, с чего начать.. Может, кто-нибудь, уже встречался с подобной гадостью и сразу подскажут что делать? стоит ХР SP3? керио, КИС2010 (но часть модулей, которые с керио не совместимы отключены). Логи буду делать чуть позже.. В файле вид экрана (каспер и центр безопасности-мои окна, остальные-подозрительные) Извиняюсь, рисунок получился не очень качественный. Но там сообщения первые были о том, что мои браузеры заражены трояном Quote Link to comment Share on other sites More sharing options...
lik Posted March 16, 2010 Author Report Share Posted March 16, 2010 Может, это новая зараза... т.к. в поисковых ничего пока не нашла. Пока ничего не делаю на компе, в том числе не перезагружаю. Я посетила с ИЕ7 сайт гимназии gm144точкаru (скрипты отключите!!!), и вылетели сообщения от "типа XP Defender Pro Firewall Alert", что у меня куча троянов и пр. У меня отключена защита дефендера. Скрипт на сайте, вроде, говорят, ничего вредного не содержит кроме вызова флэши. А файлы, о которых мне говорит якобы Defender, в ппках не существуют. Вот пока сижу смотрю на сообщения. Думаю, с чего начать.. Может, кто-нибудь, уже встречался с подобной гадостью и сразу подскажут что делать? стоит ХР SP3? керио, КИС2010 (но часть модулей, которые с керио не совместимы отключены). Логи буду делать чуть позже.. В файле вид экрана (каспер и центр безопасности-мои окна, остальные-подозрительные) Извиняюсь, рисунок получился не очень качественный. Но там сообщения первые были о том, что мои браузеры заражены трояном комп пока перезагружать боюсь :-) cureit сразу после запуска говорит, что "при сканировании были обнаружены вирусы (RC=514)" и все, больше ничего не проверяет. логи сделала без перезагрузки системы: avz_log.rar avz_sysinfo.zip hijackthis.rar avz_log.rar avz_sysinfo.zip hijackthis.rar Quote Link to comment Share on other sites More sharing options...
akoK Posted March 16, 2010 Report Share Posted March 16, 2010 На картинке активный зловред-вымогатель Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. Quote Link to comment Share on other sites More sharing options...
lik Posted March 16, 2010 Author Report Share Posted March 16, 2010 На картинке активный зловред-вымогатель Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение. на зараженном компе программа не запускается.. на зараженном компе программа не запускается.. может, есть portable версия? без установки? или можно установить на одном компе и взять папку и запустить на др компе? (как авз)? в авз-логе написано что-то про нарушение ассоциаций с расширением exe.. авз запустился а вот этот установочный файл нет.. Quote Link to comment Share on other sites More sharing options...
lik Posted March 16, 2010 Author Report Share Posted March 16, 2010 скачала ремувбл утилиту с сайта касперского. она тоже не запустилась, но о, счастье, наконец-то проснулся родной Касперский. и сказал, что проводник пытается запустить ave.exe и назвал этот троян. trojan.win32.FraudPack.aovc так-с..осталось его убить..хм.. Quote Link to comment Share on other sites More sharing options...
snifer67 Posted March 16, 2010 Report Share Posted March 16, 2010 - Закройте/выгрузите все программы кроме Internet Explorer. Отключите - ПК от интернета/локальной сети. - Выполните скрипт в avz beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\documents and settings\dimka\local settings\application data\ave.exe','');TerminateProcessByName('c:\documents and settings\dimka\local settings\application data\ave.exe');DeleteFile('c:\documents and settings\dimka\local settings\application data\ave.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ExecuteRepair(1);RebootWindows(true);end. - ПК перезагрузится. - Выполнить скрипт в AVZ. var qfolder: string; qname: string;begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false);end. Вы увидите папку с архивом. Это - карантин. - Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь. - Сделайте новые логи. Quote Link to comment Share on other sites More sharing options...
lik Posted March 16, 2010 Author Report Share Posted March 16, 2010 значит новая модификация лже-антивируса с деструктивными действиями.. сейчас как раз MS проводят апдейты ОС с возможностью проверки вирусов их внутренним антивирусом. спасибо.буду делать а еще вопросик - можно ли узнать механизм заражения? чтобы обезопасит себя. недавно обновление операционки сделали, и , вроде, уж не ИЕ6.. ИЕ редко юзаю, но он вызвался именно по умолчанию (обработка гиперссылок) Quote Link to comment Share on other sites More sharing options...
lik Posted March 16, 2010 Author Report Share Posted March 16, 2010 --------------------- в итоге, что получилось.. авз запустился только "от имени..." текущей учетки (через контекстное меню) первый скрипт выполнился без создания карантина (в папке было пусто). после перезагрузки не запустился керио, не запустился касперский и вообще ничего не запускалось. кроме авз (описано выше как), второй скрипт тоже выполнился без ошибок, но лучше не стало. видимо, повредились системные файлы, учетная запись... пришлось переписать образ системного диска (решила, что это самый быстрый выход из сложившейся ситуации). спасибо всем, кто откликнулся. будете еще какая информация-пишите. Quote Link to comment Share on other sites More sharing options...
snifer67 Posted March 16, 2010 Report Share Posted March 16, 2010 можно ли узнать механизм заражения? Через дыры в системе, необновленное ПО, зараженные сайты. Quote Link to comment Share on other sites More sharing options...
lik Posted March 16, 2010 Author Report Share Posted March 16, 2010 Через дыры в системе, необновленное ПО, зараженные сайты. насчет обновления - совсем недавно обновила. Остальное более менее ясно. Почему только Касперский сразу не блокировал вредоносные действия.. Quote Link to comment Share on other sites More sharing options...
Yezhishe Posted March 16, 2010 Report Share Posted March 16, 2010 Почему только Касперский сразу не блокировал вредоносные действия..Потому что продукция Лаборатории Касперского не является истиной в последней инстанции. Точно так же она не является лучшим антивирусником, известным на этой планете... Только поэтому.Меньше внимания рекламе - больше внимания собственным действиям... Quote Link to comment Share on other sites More sharing options...
neziticxpen Posted March 17, 2010 Report Share Posted March 17, 2010 (edited) Тоже тока что встретил ету фигню у знакомой на компе пришлось лесть через ТимВивер а у нею еще не полные права в итоге нашол в Документах AVE.exe который прятолся под видом сис файлов убил и в реэстр залез тоже его убил там сторчка была типа %Start %1%% или чтото вроде етого и теперь на связь она не выходит наверно тоже ХР слетела Если кто знает как боротся так чтоб система живая оставалось пишите) i Уведомление:Мы знаем, как бороться. У нас тут целый раздел для этого создан. На будущее: крайне не рекомендуется что либо писать в разделе лечения если вы не создатель топика, либо не специалист по борьбе с вирусной заразой. Edited March 17, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Мартовская кошка Posted March 17, 2010 Report Share Posted March 17, 2010 (edited) Потому что продукция Лаборатории Касперского не является истиной в последней инстанции. Точно так же она не является лучшим антивирусником, известным на этой планете... Только поэтому. Меньше внимания рекламе - больше внимания собственным действиям... ну сколько людей столько и мнений. Очень многие пользуются Каспером и довольны. И если бы он не был одним из лучших, то навряд ли им бы удалось удержаться. Конкуренция не малая. Лучший-не лучший, но многим антивирусам до него еще очень далеко. А на фоне КИС 2010, так вообще большинство антивирусов отдыхает. ИМХО. i Уведомление: Вот для кого интересно постом выше висит уведомление? получите сударыня штраф Edited March 17, 2010 by edde Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.