Jump to content
СофтФорум - всё о компьютерах и не только

только что странные вещи произошли


Recommended Posts

Может, это новая зараза... т.к. в поисковых ничего пока не нашла.

Пока ничего не делаю на компе, в том числе не перезагружаю.

Я посетила с ИЕ7 сайт гимназии gm144точкаru (скрипты отключите!!!), и вылетели сообщения от "типа XP Defender Pro Firewall Alert", что у меня куча троянов и пр.

У меня отключена защита дефендера.

Скрипт на сайте, вроде, говорят, ничего вредного не содержит кроме вызова флэши.

А файлы, о которых мне говорит якобы Defender, в ппках не существуют.

Вот пока сижу смотрю на сообщения. Думаю, с чего начать..

Может, кто-нибудь, уже встречался с подобной гадостью и сразу подскажут что делать?

стоит ХР SP3? керио, КИС2010 (но часть модулей, которые с керио не совместимы отключены).

Логи буду делать чуть позже..

В файле вид экрана (каспер и центр безопасности-мои окна, остальные-подозрительные)

Извиняюсь, рисунок получился не очень качественный.

Но там сообщения первые были о том, что мои браузеры заражены трояном

123.jpg

post-68746-1268731504_thumb.jpg

Link to comment
Share on other sites

Может, это новая зараза... т.к. в поисковых ничего пока не нашла.

Пока ничего не делаю на компе, в том числе не перезагружаю.

Я посетила с ИЕ7 сайт гимназии gm144точкаru (скрипты отключите!!!), и вылетели сообщения от "типа XP Defender Pro Firewall Alert", что у меня куча троянов и пр.

У меня отключена защита дефендера.

Скрипт на сайте, вроде, говорят, ничего вредного не содержит кроме вызова флэши.

А файлы, о которых мне говорит якобы Defender, в ппках не существуют.

Вот пока сижу смотрю на сообщения. Думаю, с чего начать..

Может, кто-нибудь, уже встречался с подобной гадостью и сразу подскажут что делать?

стоит ХР SP3? керио, КИС2010 (но часть модулей, которые с керио не совместимы отключены).

Логи буду делать чуть позже..

В файле вид экрана (каспер и центр безопасности-мои окна, остальные-подозрительные)

Извиняюсь, рисунок получился не очень качественный.

Но там сообщения первые были о том, что мои браузеры заражены трояном

комп пока перезагружать боюсь :-)

cureit сразу после запуска говорит, что "при сканировании были обнаружены вирусы (RC=514)" и все, больше ничего не проверяет.

логи сделала без перезагрузки системы:

avz_log.rar

avz_sysinfo.zip

hijackthis.rar

avz_log.rar

avz_sysinfo.zip

hijackthis.rar

Link to comment
Share on other sites

На картинке активный зловред-вымогатель

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

Link to comment
Share on other sites

На картинке активный зловред-вымогатель

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - нажмите "Remove Selected" (удалить выделенные). Откройте лог и скопируйте в сообщение.

на зараженном компе программа не запускается..

на зараженном компе программа не запускается..

может, есть portable версия? без установки? или можно установить на одном компе и взять папку и запустить на др компе? (как авз)?

в авз-логе написано что-то про нарушение ассоциаций с расширением exe..

авз запустился

а вот этот установочный файл нет..

Link to comment
Share on other sites

скачала ремувбл утилиту с сайта касперского.

она тоже не запустилась, но о, счастье, наконец-то проснулся родной Касперский.

и сказал, что проводник пытается запустить ave.exe

и назвал этот троян.

trojan.win32.FraudPack.aovc

так-с..осталось его убить..хм..

Link to comment
Share on other sites

- Закройте/выгрузите все программы кроме Internet Explorer.

Отключите

- ПК от интернета/локальной сети.

- Выполните скрипт в avz

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('c:\documents and settings\dimka\local settings\application data\ave.exe','');TerminateProcessByName('c:\documents and settings\dimka\local settings\application data\ave.exe');DeleteFile('c:\documents and settings\dimka\local settings\application data\ave.exe');BC_ImportDeletedList;ExecuteSysClean;BC_Activate;ExecuteRepair(1);RebootWindows(true);end.

- ПК перезагрузится.

- Выполнить скрипт в AVZ.

var qfolder: string; qname: string;begin qname := GetAVZDirectory + '..\Quarantine\quarantine.zip'; qfolder := ExtractFilePath(qname); if (not DirectoryExists(qfolder)) then CreateDirectory(qfolder); CreateQurantineArchive(qname); ExecuteFile('explorer.exe', qfolder, 1, 0, false);end.

Вы увидите папку с архивом. Это - карантин.

- Карантин отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html . В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

- Сделайте новые логи.

Link to comment
Share on other sites

значит новая модификация лже-антивируса с деструктивными действиями..

сейчас как раз MS проводят апдейты ОС с возможностью проверки вирусов их внутренним антивирусом.

спасибо.буду делать

а еще вопросик - можно ли узнать механизм заражения?

чтобы обезопасит себя.

недавно обновление операционки сделали, и , вроде, уж не ИЕ6..

ИЕ редко юзаю, но он вызвался именно по умолчанию (обработка гиперссылок)

Link to comment
Share on other sites

---------------------

в итоге, что получилось..

авз запустился только "от имени..." текущей учетки (через контекстное меню)

первый скрипт выполнился без создания карантина (в папке было пусто).

после перезагрузки не запустился керио, не запустился касперский

и вообще ничего не запускалось.

кроме авз (описано выше как), второй скрипт тоже выполнился без ошибок, но лучше не стало.

видимо, повредились системные файлы, учетная запись...

пришлось переписать образ системного диска (решила, что это самый быстрый выход из сложившейся ситуации).

спасибо всем, кто откликнулся.

будете еще какая информация-пишите.

Link to comment
Share on other sites

Через дыры в системе, необновленное ПО, зараженные сайты.

насчет обновления - совсем недавно обновила.

Остальное более менее ясно.

Почему только Касперский сразу не блокировал вредоносные действия..

Link to comment
Share on other sites

Почему только Касперский сразу не блокировал вредоносные действия..
Потому что продукция Лаборатории Касперского не является истиной в последней инстанции. Точно так же она не является лучшим антивирусником, известным на этой планете... Только поэтому.

Меньше внимания рекламе - больше внимания собственным действиям...

Link to comment
Share on other sites

Тоже тока что встретил ету фигню у знакомой на компе пришлось лесть через ТимВивер а у нею еще не полные права в итоге нашол в Документах AVE.exe который прятолся под видом сис файлов убил и в реэстр залез тоже его убил там сторчка была типа %Start %1%% или чтото вроде етого и теперь на связь она не выходит наверно тоже ХР слетела

Если кто знает как боротся так чтоб система живая оставалось пишите)

i

Уведомление:

Мы знаем, как бороться.

У нас тут целый раздел для этого создан. На будущее: крайне не рекомендуется что либо писать в разделе лечения если вы не создатель топика, либо не специалист по борьбе с вирусной заразой.

Edited by edde
Link to comment
Share on other sites

Потому что продукция Лаборатории Касперского не является истиной в последней инстанции. Точно так же она не является лучшим антивирусником, известным на этой планете... Только поэтому.

Меньше внимания рекламе - больше внимания собственным действиям...

ну сколько людей столько и мнений. Очень многие пользуются Каспером и довольны. И если бы он не был одним из лучших, то навряд ли им бы удалось удержаться. Конкуренция не малая. Лучший-не лучший, но многим антивирусам до него еще очень далеко. А на фоне КИС 2010, так вообще большинство антивирусов отдыхает. ИМХО.

i

Уведомление:

Вот для кого интересно постом выше висит уведомление? получите сударыня штраф

Edited by edde
Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...