Novgorodskaya_22 Опубликовано 2 февраля, 2011 Опубликовано 2 февраля, 2011 Добрый день ! При использовании MobileBalance http://www.mtsoft.ru/ ругается Kaspersky Internet Sequrity (8.0.0.523) Гооврит что она время от времени пытается установить какое-то вредоносное програмное обеспечение с адреса http://space Использую: Internet explorer: 7.0.5730.11IS Win XP SP3 ver 5.1.2600 Все обновления с сайта майкрософта установлены Связался с автором программы - вот его ответ: ------------------------------------------------------------- Здравствуйте! Боюсь, что проблема не в программе, а в том, что Ваш компьютер уже заражен. Причем, "зараза" коснулась установленного на этом компьютере браузера Internet Explorer. Программа MobileBalance использует в своей работе именно этот браузер. Соответственно, все проблемы связанные с IE присущи и ей. В платном варианте программа никуда, кроме как на сайте операторов не заходит. В бесплатном варианте дополнительно забирает рекламный баннер с сервера http://mtsoft.ru/ И это все. С уважением, Петр Плеханов. ---------------------------------------------------------------------------- Что посоветуете по существу - как вывести и уничтожить заразу ? Полная проверка касперским в самом расширенном режиме результатов не принесла
Roman_Five Опубликовано 3 февраля, 2011 Опубликовано 3 февраля, 2011 Novgorodskaya_22 выполните правила раздела http://forum.kasperskyclub.ru/index.php?showtopic=1698 и приложите 3 лога
Novgorodskaya_22 Опубликовано 3 февраля, 2011 Автор Опубликовано 3 февраля, 2011 Novgorodskaya_22выполните правила раздела http://forum.kasperskyclub.ru/index.php?showtopic=1698 и приложите 3 лога Выполнил, загрузил Заранее благодарен за помощь avz_pomogite.rar GetSystemInfo_REFLEXCOMPUTER_Reflex_2011_02_03_12_59_42.zip hijackthis.log
Roman_Five Опубликовано 3 февраля, 2011 Опубликовано 3 февраля, 2011 Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"): begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearQuarantine; TerminateProcessByName('f:\program files\switch it!\switchit.exe'); TerminateProcessByName('f:\program files\sony\content transfer\contenttransferwmdetector.exe'); TerminateProcessByName('f:\program files\divx\divx plus web player\ddmservice.exe'); TerminateProcessByName('f:\program files\divx\divx update\divxupdate.exe'); StopService('stremu'); QuarantineFile('F:\WINDOWS\system32\system',''); QuarantineFile('F:\WordTmp\Old_files_from_this_directory\nessuswx-1.4.5b\nessuswx-1.4.5\libeay32.dll',''); QuarantineFile('F:\WINDOWS\system32\DivXControlPanelApplet.cpl',''); QuarantineFile('F:\WINDOWS\system32\plugincpl140_01.cpl',''); QuarantineFile('F:\WINDOWS\system32\LiveVision\aChat\LCClient.ocx',''); QuarantineFile('F:\WINDOWS\DOWNLO~1\bssigner.ocx',''); QuarantineFile('F:\Program Files\WinNER\map\map.exe',''); QuarantineFile('E:\msvbvm60.dll',''); QuarantineFile('F:\WINDOWS\system32\DRIVERS\Lbd.sys',''); QuarantineFile('F:\WINDOWS\system32\Drivers\appdrv01.sys',''); QuarantineFile('F:\WINDOWS\System32\Drivers\stremu.SYS',''); QuarantineFile('F:\Program Files\DivX\DivX Plus Web Player\DivXDownloadManager.dll',''); QuarantineFile('F:\Program Files\DivX\DivX Plus Web Player\npdivx32.dll',''); QuarantineFile('F:\Program Files\DivX\DivX Update\DivXUpdateCheck.dll',''); QuarantineFile('F:\Program Files\GetRight\xx2gr.dll',''); QuarantineFile('f:\program files\switch it!\switchit.exe',''); QuarantineFile('f:\program files\sony\content transfer\contenttransferwmdetector.exe',''); QuarantineFile('f:\program files\divx\divx plus web player\ddmservice.exe',''); QuarantineFile('f:\program files\divx\divx update\divxupdate.exe',''); QuarantineFile('F:\Program Files\DivX\DivX Plus Web Player\libxml2.dll',''); QuarantineFile('F:\Program Files\ICQLite\ICQLite.exe',''); QuarantineFile('F:\Documents and Settings\Reflex\Главное меню\Программы\IMVU\Run IMVU.lnk',''); QuarantineFile('C:\Program Files\Real\RealOne Player\rpshell.dll',''); QuarantineFile('F:\Program Files\ICQLite\ICQLiteShell.dll',''); QuarantineFile('F:\Program Files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe',''); DeleteFile('F:\WINDOWS\system32\system'); BC_ImportAll; ExecuteSysClean; BC_Activate; ExecuteWizard('SCU', 3, 3, true); RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится. Для создания архива с карантином выполните скрипт: begin CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip'); end. Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы). Для получения ответа в более короткий срок отправьте ваш запрос через Личный кабинет. В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек). В строке "Электронный адрес:" укажите адрес своей электронной почты. Полученный ответ сообщите в этой теме. Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть): O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file) O2 - BHO: Спутник@Mail.Ru - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file) После проведённого лечения рекомендуется установить следующие обновления: - обновить Internet Explorer до версии 8.0 - все обновления на Windows XP - обновить Java до актуальной версии - обновить Adobe Reader до актуальной версии а также: - откройте файл ScanVuln.txt; - выполните из этого файла скрипт в AVZ (после работы скрипта будет создан файл - avz_log.txt); - пройдитесь по ссылкам (если будут) из файла avz_log.txt и установите все рекомендуемые обновления; - перезагрузите компьютер; - повторно выполните скрипт и убедитесь, что уязвимости устранены. Сделайте лог утилитой из этой статьи: http://support.kaspersky.ru/faq/?qid=208639606 Полученный лог из корня диска С приложите.
Novgorodskaya_22 Опубликовано 3 февраля, 2011 Автор Опубликовано 3 февраля, 2011 (изменено) Огромное спасибо за помощь и советы ! 1) Internet Explorer 8.0. ставить ся отказался - установшик написал что программа не установлена 2) Я поставил Adobe Reader X Russian for Windows avz при выполнении скрипта пишет что надо ставить 9.4. - снести X и поставить 9.4. или не надо ? 3) Наконец-то разобрался ка делать скрины экрана - вот что выдавал KIS (см. два скрина с экрана): 4) Лог TdsKiller прилагаю, sptd.sys из карантина tdsKiller отправил вирусным аналитикам - ответа пока нет - как будет - выложу 5) Ответ по файлам из карантина AVZ от вирусных аналитиков пока не получил - как будет - выложу Еще раз благодарю ! С меня причитается ! TDSSKiller.2.4.16.0_04.02.2011_00.57.58_log.txt Изменено 3 февраля, 2011 пользователем Novgorodskaya_22
snifer67 Опубликовано 4 февраля, 2011 Опубликовано 4 февраля, 2011 снести X и поставить 9.4. или не надо ? Да.
Roman_Five Опубликовано 4 февраля, 2011 Опубликовано 4 февраля, 2011 Ответ по файлам из карантина AVZ от вирусных аналитиков пока не получил - как будет - выложу чтобы скрасить ожидание, скачайте Malwarebytes' Anti-Malware здесь или здесь. Установите mbam-setup.exe Обновите базы. Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно (загрузить обновление MBAM). Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты". Полученный лог прикрепите к сообщению. Internet Explorer 8.0. ставить ся отказался - установшик написал что программа не установлена а вот это плохо. какую ошибку показывает? пишет что надо ставить 9.4. - снести X и поставить 9.4. или не надо ? это из-за того, что скрипт некоторое время не обновлял автор. ругается Kaspersky Internet Sequrity (8.0.0.523) пора ставить версию поновее Kaspersky Internet Security2009 Поддержка версии прекращена Дата окончания выпуска баз: 24.12.2011 http://support.kaspersky.ru/supported_home Как правильно перейти с Kaspersky Internet Security 2009 на Kaspersky Internet Security 2011?
Novgorodskaya_22 Опубликовано 4 февраля, 2011 Автор Опубликовано 4 февраля, 2011 Да. "Да" - "не надо" Или "да" - "снести" ? как я понял из следующего сообщения сносить не надо - это недочет в avz
Roman_Five Опубликовано 4 февраля, 2011 Опубликовано 4 февраля, 2011 недочет в avz нет. не в авз автор скрипта не успел обновить скрипт, чтобы качалась новая версия адобридера Novgorodskaya_22 а где же лог MBAM?
Novgorodskaya_22 Опубликовано 4 февраля, 2011 Автор Опубликовано 4 февраля, 2011 (изменено) нет. не в авзавтор скрипта не успел обновить скрипт, чтобы качалась новая версия адобридера Novgorodskaya_22 а где же лог MBAM? mbam проверил уже более 200000 файлов - будет работать еще несколько часов (я думаю) уже что-то нашел - но посмотреть пока не могу Инет эксплорер не писал код ошибки - процедура установки шла довольно долго - потом написал что кустановить не удалось(вроде безкогда) Перехода на 11-й каспер не выдержит мое железо- комп малопроизводиттельный (на данный момент) - брал в 2005 году еще Постараюсь к осени набрать денег и взять новый системник - тогда и 11-ю версию поставлю Пришел ответ от аналитиков насчет sptd.sys, отправленного в карантин tdskiller(ом) -заразы нет я в шоке куда смотрел каспер ? не шиша не нашел перехожу на mailwarebyte ! ) mbam_log_2011_02_04__14_54_14_.txt Изменено 4 февраля, 2011 пользователем Novgorodskaya_22
Roman_Five Опубликовано 4 февраля, 2011 Опубликовано 4 февраля, 2011 перехожу на mailwarebyte ! не стоит. 1) это не полноценный резидентный антивирус и тем боле не IS 2) много фолсов удалите в MBAM (внимательно смотрите, где ставите галки!) после повторного сканирования: Заражённые ключи в реестре: HKEY_CLASSES_ROOT\CLSID\{2B96D5CC-C5B5-49A5-A69D-CC0A30F9028C} (Adware.Minibug) -> No action taken. HKEY_CLASSES_ROOT\TypeLib\{3C2D2A1E-031F-4397-9614-87C932A848E0} (Adware.Minibug) -> No action taken. HKEY_CLASSES_ROOT\Interface\{04A38F6B-006F-4247-BA4C-02A139D5531C} (Adware.Minibug) -> No action taken. HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX.1 (Adware.Minibug) -> No action taken. HKEY_CLASSES_ROOT\MiniBugTransporter.MiniBugTransporterX (Adware.Minibug) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{2473BF2D-CA0A-11DA-88DB-0050BF2938E1} (Trojan.Swizzor) -> No action taken. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{7C559105-9ECF-42B8-B3F7-832E75EDD959} (Adware.ISTBar) -> No action taken. Заражённые папки: f:\program files\VVSN (Adware.WhenU) -> No action taken. f:\program files\VVSN\URL1 (Adware.WhenU) -> No action taken. f:\documents and settings\Reflex\local settings\application data\target marketing agency (Adware.TMAagent) -> No action taken. f:\documents and settings\Reflex\local settings\application data\target marketing agency\TMAgent (Adware.TMAagent) -> No action taken. Заражённые файлы: c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP553\A0228412.exe (Trojan.Downloader) -> No action taken. c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP553\A0229680.exe (Virus.Expiro) -> No action taken. c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP554\A0246701.exe (Trojan.Agent.CK) -> No action taken. c:\system volume information\_restore{788dfb80-0a2d-4c53-ba29-30733b2ce411}\RP554\A0247876.EXE (Application.Joke) -> No action taken. f:\Distribu\lan_utils\Other\iris_the_network_traffic_analyzer_v4-00-(build-5)\iris_the_network_traffic_analyzer_v4-00-(build-5)---keygen.exe (Trojan.Agent.CK) -> No action taken. f:\Distribu\vypress- chat\Crack\patch.exe (Trojan.Bancos) -> No action taken. f:\WordTmp\quick_unpack_2.2.tool.tport\importtracers\pecompactv2.x.dll (Spyware.Passwords) -> No action taken. f:\WordTmp\quick_unpack_2.2.tool.tport\oepfinders\loaddll.exe (Malware.Packer) -> No action taken. f:\documents and settings\Reflex\application data\winxarj\winzip.exe (Trojan.Agent) -> No action taken. f:\program files\VVSN\vvsn.cfg (Adware.WhenU) -> No action taken. f:\documents and settings\Reflex\local settings\application data\target marketing agency\TMAgent\params.bin (Adware.TMAagent) -> No action taken. f:\documents and settings\Reflex\local settings\application data\target marketing agency\TMAgent\tmagent.bin (Adware.TMAagent) -> No action taken. Перехода на 11-й каспер не выдержит мое железо- комп малопроизводиттельный а Вы попробуйте http://www.kaspersky.ru/kaspersky_internet_security Аппаратные требованияПроцессор 800 МГц и выше 512 Мб свободной оперативной памяти
Рекомендуемые сообщения
Пожалуйста, войдите, чтобы комментировать
Вы сможете оставить комментарий после входа в
Войти