Посмотрите логи плиз.

[Sanitar]

Мое неуемное желание заиметь базу мобильных и Автодату последней версии привела к тому что кажется хватанул вирус.

Логи прилагаю.

virusinfo_syscheck.zipvirusinfo_syscure.ziplog.txtmbam-log-2010-11-07 (20-13-57).txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

mbam-log-2010-11-07 (20-13-57).txt

[edde]

На что жалуетесь?  В логах активного заражения не видно

Удалите то что нашел мбам

выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\Program Files\Bases-09\www.yaport.com.ua.url','');DeleteFile('C:\Program Files\Bases-09\www.yaport.com.ua.url');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Полученный архив отправьте на quarantine<at>virusnet.info с указанием в заголовке письма ссылки на тему. (at=@) , отправьте копию карантина на ящик myedde@mail.ru

Обновите базы. 

Повторите логи.

Изменено 7 ноября, 2010 пользователем edde

[Sanitar]

На что жалуетесь?  В логах активного заражения не видно

При закрытии мозилы Аваст ругается. При сканировании МБАМом нашлись проблемы. При удалении накачаных архивов-один архив доставил проблем с его удалением, при клике правой кнопкой по архиву вылетала ошибка. После этого и решил проверить полностью комп на вири. Если точно в логах чисто-то сделаю Акронисом копию, что бы в случае чего можно было бы откатиться.

virusinfo_syscheck.zipvirusinfo_syscure.ziplog.txt

virusinfo_syscheck.zip

virusinfo_syscure.zip

log.txt

[edde]

C:\pchd - что это, стриптиз на рабочий стол устанавливали? 

выполните скрипт авз

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('C:\WINDOWS\system32\drivers\EIO.sys','');QuarantineFile('C:\WINDOWS\ph.ini','');QuarantineFile('C:\Documents and Settings\Владислав\Local Settings\Temp\~DF7826.tmp','');QuarantineFile('C:\Documents and Settings\Владислав\Application Data\Mozilla\Firefox\Profiles\4juffc5w.Владислав\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll','');DeleteFile('C:\Documents and Settings\Владислав\Application Data\Mozilla\Firefox\Profiles\4juffc5w.Владислав\extensions\{e001c731-5e37-4538-a5cb-8168736a2360}\components\qscanff.dll');DeleteFile('C:\WINDOWS\ph.ini');DeleteFile('C:\Documents and Settings\Владислав\Local Settings\Temp\~DF7826.tmp');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

Компьютер перезагрузится

выполните второй скрипт

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет создан архив с карантином

Полученный архив отправьте на quarantine<at>virusnet.info с указанием в заголовке письма ссылки на тему. (at=@) , отправьте копию карантина на ящик myedde@mail.ru

[Sanitar]

C:\pchd - что это, стриптиз на рабочий стол устанавливали? 

Нет и никогда не думал об этом. Я не в том возрасте что бы подобными игрушками засорять себе комп, да и на стриптиз я не хожу. :blushing:

Нашел эту папку. Там фото каких то девок и никакого стриптиза.

Кстати вспомнил. У меня один раз каким то макаром на рабочем столе появились танцующие девки, ну сразу как то это все вырубил и давно забыл про это. Может это оно и есть? :g:

Изменено 7 ноября, 2010 пользователем Sanitar

[edde]

@Sanitar, Оно и есть.  Что с проблемами? 

Изменено 7 ноября, 2010 пользователем edde

[Sanitar]

@Sanitar, Оно и есть.  Что с проблемами? 

Секунд, я так быстро не могу. Да и скрипты не за секунду делаются.

Карантин на ящики отправил. Про проблемы не скажу т.к. про девок я не знал а они нашлись. Может еще поковырять, поглубже так сказать? :rolleyes:

Изменено 7 ноября, 2010 пользователем Sanitar

[Sanitar]

Меня вот это беспокоит. Т.е., после лечения так и не прошло. Значит что то есть еще, я прав?

[edde]

@Sanitar, Выгрузите аваст, провер ьте свежей версией cureit, если ничего не найдет - скорее всего ложное срабатывание аваста 

[Saule]

В файле, на который ругается Avast, хранятся закладки и история посещенных страниц Firefox'а.

Попробуй отчистить историю. Если не поможет, придется искать закладку-виновницу (у тебя много закладок?)

Либо "iframe" в самом файле. Avast ругается только на этот файл и только одним сообщением/окном?

Чтобы почистить историю:

В главном меню Firefox'а: "Инструменты" > "Настройки" > вкладка "Приватность" > раздел "История" > "Очистить вашу недавнюю историю". Там в выпадающем меню выбираешь "Всё" и внизу ставишь галочки рядом с "Журнал посещений и загрузок" и "Кеш" (остальные галочки не нужны; если галочек нет, надо нажать на стрелку "Подробности").

Либо: зайти в Firefox, нажать на клавиши Ctrl+Shift+H и в открывшемся окне удаляешь записи за последние месяцы (в Журнале). Там же можно сделать бэкап (резервную копию) всех закладок на всякий случай.

И отпиши исчезла ли после этого проблема.

Насколько критично удалить все данные профиля? Настройка, закладки и прочее? (как будто бы браузер поставить с нуля? или такой вариант отпадает?)

Вечером приду, если что - разберемся.

[Sanitar]

провер ьте свежей версией cureit, если ничего не найдет - скорее всего ложное срабатывание аваста 

Не нашел он ничего. Я даже в выборочном сканировании прямой путь указывал.

[Sanitar]

В файле, на который ругается Avast, хранятся закладки и история посещенных страниц Firefox'а.

Попробуй отчистить историю. Если не поможет, придется искать закладку-виновницу (у тебя много закладок?)

Либо "iframe" в самом файле. Avast ругается только на этот файл и только одним сообщением/окном?

Чтобы почистить историю:

В главном меню Firefox'а: "Инструменты" > "Настройки" > вкладка "Приватность" > раздел "История" > "Очистить вашу недавнюю историю". Там в выпадающем меню выбираешь "Всё" и внизу ставишь галочки рядом с "Журнал посещений и загрузок" и "Кеш" (остальные галочки не нужны; если галочек нет, надо нажать на стрелку "Подробности").

Не помогло. Я даже пробовал этот файл в карантин помещать, пропадают значки у закладок(не критично)и пропадает подстановка пароля при входе на форумы. Мне вот еще одно непонятно, я же имя профиля нормально писал-почему он кракозябрами? Или так оно и должно быть?

[akoK]

Sanitar, что говорит по поводу этого файла www.virustotal.com?

[Sanitar]

Sanitar, что говорит по поводу этого файла www.virustotal.com?

На него ругнулись Аваст 4 и 5, и GData.

[edde]

@Sanitar,  Если не очень критичны данные профиля, папку зархивируйте и удалите или перенесите в другое место.  Firefox создаст новый, видимо просто фолс  аваста. 

[Saule]

"Опасных" вирусов нет и ты в безопасности, не переживай! :flowers:

Сейчас разберемся.

что говорит по поводу этого файла www.virustotal.com?

Проблема не в вирусе ("iframe" в данном случае не исполняется; не важно опасный он или нет). Проблема в том, что антивирус достает каждый раз при закрытии браузера (Firefox при закрытии обращается к своей базе, Avast на это реагирует и начинает её сканировать). Удалить файл - пропадет база профиля.

В идеале: найти блок, удалить его из базы (не повредив её) + по желанию отправить данные без конфиденциальных записей в Avast, если это FP.

Не в идеале: сделать так, как сказал edde.

[Sanitar]

Не в идеале: сделать так, как сказал edde.

Вот да, не в идеале. Я пробовал папку убирать оттуда, ессно создавалась новая но, некоторые функции теряются.

[Dann]

Не могу залить places.sqlite на вирустотал, весит 50 метров, чищу журнал, не уменьшается. Почему?

[Saule]

Ребята (предупреждаю на всякий случай), не надо просто так никуда заливать этот файл, в нем очень много ваших личных приватных данных.

...не уменьшается. Почему?

Рискну предположить (не знаю конкретно про Firefox), что размер не уменьшается из-за того, что в базе не предусмотрено физическое удаление данных (нет функции purge/vacuum/или подобных, которая занималась бы физическим удалением освободившихся мест; либо эта функция не используется и база работает только на расширение).

В этом случае, при обычном удалении, данные (к примеру) зануляюся, либо помечаются, как удаленные. Место, которое занималось - фактически не освобождается и на это место можно записывать другие данные. Это сделано в основном по причинам скорости обработки (записи новых данных и удаления старых). Так как если файл уже выделен на диске, то не требуется дополнительное время на эту операцию, которая может быть особенно длительной в случае фрагментированного диска. Ну и сам процесс удаления выглядит очень просто: пометить записи как удаленные, и больше не делать ничего. В противном случае пришлось бы перестраивать структуру файла хранилища, перевыделять опять файл на диске и т.п. (зависит от реализации).

Если запутала (что-то не могу перестроится в данный момент), то воспринимайте это так: данные можно "сделать пустыми", но не удалить. И это не касается конкретно базы Firefox'а, это в целом касается некоторых баз данных и подобного поведения с размерами.

Пропустила вопрос (с остальным разобрались):

Мне вот еще одно непонятно, я же имя профиля нормально писал-почему он кракозябрами? Или так оно и должно быть?

Не совсем правильно преобразовываются русские буквы. В другой кодировке (Юникод, UTF-8) всё будет отображаться нормально (на самом деле там нормальное русское слово; вернее, имя). С этим ничего делать не нужно, это нормально.

[Dann]

Понял! Спасибо. Данных нет, пусто, белый экран в блокноте, файл 50 метров.

зануляюся

Ноль и единица одинаково весят?

[Saule]

:)

Да. Только это не вес, а размер. Вы как бы не взвешиваете на весах (как бы), а отмеряете... размер у нуля с единицей - одинаковый.

[Dann]

Понял! Спасибо.

Даже на вирустотал не надо?

[Saule]

Это Ваше личное дело. Я просто предупредила (мало ли что еще кому-нибудь придет в голову).

Любой другой файл (где нет Ваших паролей и прочего) - можно (и иногда очень нужно); конкретно этому файлу в интернете нечего делать.

[Dann]

Понял! Большое спасибо!

[Sanitar]

Это Ваше личное дело. Я просто предупредила (мало ли что еще кому-нибудь придет в голову).

Любой другой файл (где нет Ваших паролей и прочего) - можно (и иногда очень нужно); конкретно этому файлу в интернете нечего делать.

Я этот файл открывал, там кроме кракозябр ничего не увидел, тем более паролей и каких либо данных.