Зараза в инет эксплорере ?

[Novgorodskaya_22]

Добрый день !

При использовании MobileBalance http://www.mtsoft.ru/

ругается Kaspersky Internet Sequrity (8.0.0.523)

Гооврит что она время от времени пытается установить какое-то

вредоносное програмное обеспечение с адреса http://space

 

Использую:

Internet explorer: 7.0.5730.11IS

Win XP SP3 ver 5.1.2600

Все обновления с сайта майкрософта установлены

 

Связался с автором программы - вот его ответ:

-------------------------------------------------------------

Здравствуйте!

Боюсь, что проблема не в программе, а в том, что Ваш компьютер уже заражен.

Причем, "зараза" коснулась установленного на этом компьютере браузера

Internet Explorer. Программа MobileBalance использует в своей работе именно

этот браузер. Соответственно, все проблемы связанные с IE присущи и ей.

 

В платном варианте программа никуда, кроме как на сайте операторов не заходит.

В бесплатном варианте дополнительно забирает рекламный баннер с сервера http://mtsoft.ru/ И это все.

С уважением, Петр Плеханов.

----------------------------------------------------------------------------

Что посоветуете по существу - как вывести и уничтожить заразу ?

Полная проверка касперским в самом расширенном режиме результатов не принесла

[Roman_Five]

Novgorodskaya_22

выполните правила раздела

http://forum.kasperskyclub.ru/index.php?showtopic=1698

и приложите 3 лога

[Novgorodskaya_22]

Novgorodskaya_22

выполните правила раздела

http://forum.kasperskyclub.ru/index.php?showtopic=1698

и приложите 3 лога

 

Выполнил, загрузил

Заранее благодарен за помощь

avz_pomogite.rar

GetSystemInfo_REFLEXCOMPUTER_Reflex_2011_02_03_12_59_42.zip

hijackthis.log

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('f:\program files\switch it!\switchit.exe');
TerminateProcessByName('f:\program files\sony\content transfer\contenttransferwmdetector.exe');
TerminateProcessByName('f:\program files\divx\divx plus web player\ddmservice.exe');
TerminateProcessByName('f:\program files\divx\divx update\divxupdate.exe');
StopService('stremu');
QuarantineFile('F:\WINDOWS\system32\system','');
QuarantineFile('F:\WordTmp\Old_files_from_this_directory\nessuswx-1.4.5b\nessuswx-1.4.5\libeay32.dll','');
QuarantineFile('F:\WINDOWS\system32\DivXControlPanelApplet.cpl','');
QuarantineFile('F:\WINDOWS\system32\plugincpl140_01.cpl','');
QuarantineFile('F:\WINDOWS\system32\LiveVision\aChat\LCClient.ocx','');
QuarantineFile('F:\WINDOWS\DOWNLO~1\bssigner.ocx','');
QuarantineFile('F:\Program Files\WinNER\map\map.exe','');
QuarantineFile('E:\msvbvm60.dll','');
QuarantineFile('F:\WINDOWS\system32\DRIVERS\Lbd.sys','');
QuarantineFile('F:\WINDOWS\system32\Drivers\appdrv01.sys','');
QuarantineFile('F:\WINDOWS\System32\Drivers\stremu.SYS','');
QuarantineFile('F:\Program Files\DivX\DivX Plus Web Player\DivXDownloadManager.dll','');
QuarantineFile('F:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll','');
QuarantineFile('F:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll','');
QuarantineFile('F:\Program Files\GetRight\xx2gr.dll','');
QuarantineFile('f:\program files\switch it!\switchit.exe','');
QuarantineFile('f:\program files\sony\content transfer\contenttransferwmdetector.exe','');
QuarantineFile('f:\program files\divx\divx plus web player\ddmservice.exe','');
QuarantineFile('f:\program files\divx\divx update\divxupdate.exe','');
QuarantineFile('F:\Program Files\DivX\DivX Plus Web Player\libxml2.dll','');
QuarantineFile('F:\Program Files\ICQLite\ICQLite.exe','');
QuarantineFile('F:\Documents and Settings\Reflex\Главное меню\Программы\IMVU\Run IMVU.lnk','');
QuarantineFile('C:\Program Files\Real\RealOne Player\rpshell.dll','');
QuarantineFile('F:\Program Files\ICQLite\ICQLiteShell.dll','');
QuarantineFile('F:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe','');
DeleteFile('F:\WINDOWS\system32\system');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteWizard('SCU', 3, 3, true);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)

 

После проведённого лечения рекомендуется установить следующие обновления:

- обновить Internet Explorer до версии 8.0

- все обновления на Windows XP

- обновить Java до актуальной версии

- обновить Adobe Reader до актуальной версии

а также:

- откройте файл ScanVuln.txt;

- выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt);

- пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления;

- перезагрузите компьютер;

- повторно выполните скрипт и убедитесь, что уязвимости устранены.

 

Сделайте лог утилитой из этой статьи:

http://support.kaspersky.ru/faq/?qid=208639606

Полученный лог из корня диска С приложите.

[Novgorodskaya_22]

Огромное спасибо за помощь и советы !

1) Internet Explorer 8.0. ставить ся отказался - установшик написал что программа не установлена

2) Я поставил Adobe Reader X Russian for Windows

avz при выполнении скрипта пишет что надо ставить 9.4. - снести X и поставить 9.4. или не надо ?

3) Наконец-то разобрался ка делать скрины экрана - вот что выдавал KIS (см. два скрина с экрана):

4) Лог TdsKiller прилагаю, sptd.sys из карантина tdsKiller отправил вирусным аналитикам - ответа пока нет - как будет - выложу

5) Ответ по файлам из карантина AVZ от вирусных аналитиков пока не получил - как будет - выложу

 

Еще раз благодарю !

С меня причитается !

TDSSKiller.2.4.16.0_04.02.2011_00.57.58_log.txt

Изменено 3 февраля, 2011 пользователем Novgorodskaya_22

[snifer67]

снести X и поставить 9.4. или не надо ?

Да.

[Roman_Five]

Ответ по файлам из карантина AVZ от вирусных аналитиков пока не получил - как будет - выложу

чтобы скрасить ожидание, скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup.exe

Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM).

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

 

Internet Explorer 8.0. ставить ся отказался - установшик написал что программа не установлена

а вот это плохо. какую ошибку показывает?

 

пишет что надо ставить 9.4. - снести X и поставить 9.4. или не надо ?

это из-за того, что скрипт некоторое время не обновлял автор.

 

ругается Kaspersky Internet Sequrity (8.0.0.523)

пора ставить версию поновее

Kaspersky Internet Security

2009 Поддержка версии прекращена

Дата окончания выпуска баз: 24.12.2011

http://support.kaspersky.ru/supported_home

 

Как правильно перейти с Kaspersky Internet Security 2009 на Kaspersky Internet Security 2011?

[Novgorodskaya_22]

Да.

"Да" - "не надо"

Или "да" - "снести" ?

как я понял из следующего сообщения сносить не надо - это недочет в avz

[Roman_Five]

недочет в avz

нет. не в авз

автор скрипта не успел обновить скрипт, чтобы качалась новая версия адобридера

 

Novgorodskaya_22

а где же лог MBAM?

[Novgorodskaya_22]

нет. не в авз

автор скрипта не успел обновить скрипт, чтобы качалась новая версия адобридера

 

Novgorodskaya_22

а где же лог MBAM?

 

mbam проверил уже более 200000 файлов - будет работать еще несколько часов (я думаю) уже что-то нашел - но посмотреть пока не могу

Инет эксплорер не писал код ошибки - процедура установки шла довольно долго - потом написал что кустановить не удалось(вроде безкогда)

Перехода на 11-й каспер не выдержит мое железо- комп малопроизводиттельный (на данный момент) - брал в 2005 году еще

Постараюсь к осени набрать денег и взять новый системник - тогда и 11-ю версию поставлю

 

Пришел ответ от аналитиков насчет sptd.sys, отправленного в карантин tdskiller(ом) -заразы нет

 

я в шоке

куда смотрел каспер ?

не шиша не нашел

перехожу на mailwarebyte ! )

mbam_log_2011_02_04__14_54_14_.txt

Изменено 4 февраля, 2011 пользователем Novgorodskaya_22

[Roman_Five]

перехожу на mailwarebyte !

не стоит.

1) это не полноценный резидентный антивирус и тем боле не IS

2) много фолсов

 

удалите в MBAM (внимательно смотрите, где ставите галки!) после повторного сканирования:

Заражённые ключи в реестре:
HKEY_CLASSES_ROOT\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\TypeLib\{3C2D2A1E-031F-4397-9614-87C932A848E0} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\Interface\{04A38F6B-006F-4247-BA4C-02A139D5531C} (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX.1 (Adware.Minibug) -> No action taken.
HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX (Adware.Minibug) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2473BF2D-CA0A-11DA-88DB-0050BF2938E1} (Trojan.Swizzor) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} (Adware.ISTBar) -> No action taken.

Заражённые папки:
f:\program files\VVSN (Adware.WhenU) -> No action taken.
f:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken.
f:\documents and settings\Reflex\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken.
f:\documents and settings\Reflex\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken.

Заражённые файлы:
c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP553\A0228412.exe (Trojan.Downloader) -> No action taken.
c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP553\A0229680.exe (Virus.Expiro) -> No action taken.
c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP554\A0246701.exe (Trojan.Agent.CK) -> No action taken.
c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP554\A0247876.EXE (Application.Joke) -> No action taken.
f:\Distribu\lan_utils\Other\iris_the_network_traffic_analyzer_v4-00-(build-5)\iris_the_network_traffic_analyzer_v4-00-(build-5)---keygen.exe (Trojan.Agent.CK) -> No action taken.
f:\Distribu\vypress-  chat\Crack\patch.exe (Trojan.Bancos) -> No action taken.
f:\WordTmp\quick_unpack_2.2.tool.tport\importtracers\pecompactv2.x.dll (Spyware.Passwords) -> No action taken.
f:\WordTmp\quick_unpack_2.2.tool.tport\oepfinders\loaddll.exe (Malware.Packer) -> No action taken.
f:\documents and settings\Reflex\application data\winxarj\winzip.exe (Trojan.Agent) -> No action taken.
f:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken.
f:\documents and settings\Reflex\local settings\application data\target marketing agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken.
f:\documents and settings\Reflex\local settings\application data\target marketing agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken.

 

Перехода на 11-й каспер не выдержит мое железо- комп малопроизводиттельный

а Вы попробуйте

http://www.kaspersky.ru/kaspersky_internet_security

Аппаратные требования

Процессор 800 МГц и выше

512 Мб свободной оперативной памяти