Перейти к содержанию
Правила раздела
Набор на стажировку в «Лабораторию Касперского»! Пробуй сам и зови друзей

[Лог?] Белый квадрат в IE

romziki

Автор romziki
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

romziki Новичок

romziki

Опубликовано
Опубликовано (изменено)

здраствуйте,

у меня такая же проблема.

 

IE & Firefox ведут себя одинаково. Лепиться этот DIV не на все URL, а только на Google & yahoo.

 

Логи приаттачил.спасибо!

 

Сообщение от модератора wise-wistful
Сообщения выделенны из темы Белый квадрат в IE, дабы не путать консультантов в выдаче рекомендаций по лечению

avz_hj.zip

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\drivers\UACfjwivnyv.sys','');
QuarantineFile('C:\WINDOWS\system32\UACbrqoexxd.dll','');
QuarantineFile('C:\WINDOWS\system32\UACcwbphwmn.dll','');
QuarantineFile('C:\WINDOWS\system32\UACmjffnssw.dll','');
QuarantineFile('C:\WINDOWS\system32\UACqjoqacjv.dll','');
QuarantineFile('C:\WINDOWS\system32\twex.exe','');
QuarantineFile('Csbhusa.sys','');
QuarantineFile('\\?\globalroot\systemroot\system32\UACqjoqacjv.dll','');
DeleteFile('C:\WINDOWS\system32\twex.exe');
DeleteFile('C:\Documents and Settings\Olga\Desktop\SDFix\backups\backups.zip');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

 

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

 

Прислать карантин (файл quarantine.zip из папки AVZ) на адрес newvirus@kaspersky.com В теле письма укажите пароль на архив virus. После того как получите ответ запостите нам, только о том что в попавших файлах, никакой информации (Ф.И.О и т.д.) о том кто из аналитиков проверял не нужно.

 

2.Пофиксить в HijackThis следующие строчки

	F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\twex.exe,
O2 - BHO: (no name) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - (no file) 
O16 - DPF: {E cellSpacing=5 cellPadding=3 width=400} -

  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
romziki Новичок

romziki

Опубликовано
  • Автор
Опубликовано

Rt32_pm.dll

 

Вредоносный код в файле не обнаружен.

 

twex.exe_ - Backdoor.Win32.Bifrose.akzg

 

Детектирование файла будет добавлено в следующее обновление.

Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано (изменено)

Сделайте новый комплект логов.

 

И посмотрите при помощи АВЗ--сервис--поиск файлов на диске C:\WINDOWS\system32\UACqjoqacjv.dll, C:\WINDOWS\system32\drivers\UACfjwivnyv.sys

 

Как дела обстоят с белым квадратом?

Изменено пользователем wise-wistful
Ссылка на комментарий
Поделиться на другие сайты
ТроПа Ветеран

ТроПа

Опубликовано
Опубликовано
И посмотрите при помощи АВЗ--сервис--поиск файлов на диске C:\WINDOWS\system32\UACqjoqacjv.dll, C:\WINDOWS\system32\drivers\UACfjwivnyv.sys

 

Вы пробывали их искать?

Ссылка на комментарий
Поделиться на другие сайты
romziki Новичок

romziki

Опубликовано
  • Автор
Опубликовано

файлов не нашел.

 

написал только что простенкую программку - эмулирующую браузер.

Гугл отдает ей нормальный текст, без этого DIVа.

 

Вывод - вирусняк прицепился к FF & IE.

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем

  • Похожий контент

    • Митьян070
      Как удалить два белых ярлыка на нижней панели без использования мыши?
      Автор Митьян070
      Всем доброе утро!
      Прошу прощения за глупый вопрос, у меня Windows 11 и так вышло, что я установил Adobe Photoshop, но вместе с ним ещё установились World of Tanks и World of Warships. Мышки у меня нет у ноутбука и ещё я инвалид I-группы после серьёзного ДТП 07.07.2017 года. Я все эти программы удалил, потому что Adobe Photoshop не работал, но на нижней панели остались два белых ярлыка. Как от них избавиться? Всем большое спасибо заранее и желаю отличного дня.
    • Ilya45
      Зашифровали файлы (ELENOR), нужна помощь, логи FRST собрал.
      Автор Ilya45
      Доброго времени суток.
      Зашифровали сегодня файлы на компе, ночью, предположительно подключились через рдп, вырубили каспера иначе думаю не отключить. винда 7.
      log.zip - логи под пользователем где все зашифровано,
      log2.zip - логи под созданным пользователем(добавил нового сам). со всеми галками в программе.
      files.zip - файл исходный и зашифрованный, плюс тхт с сообщением.
      log.zip files.zip log2.zip
    • 7Glasses
      Заброшенная узкоколейка рядом с Минском (д. Белая Лужа, Слуцкий район, Минская область)
      Автор 7Glasses
      Всем привет! Давно что-то я не писал ничего в блог) Надо исправляться!
      Прошло лето, сентябрь и октябрь побаловали нас отличной погодой, но это не значит, что надо впадать в спячку и сидеть дома у окна с чашечкой кофе! Вот и я решил не сидеть дома, а отправиться на прогулку по сохранившейся узкоколейной железной дороге под Минском. Давно хотел туда отправиться и вот пришло время. Сразу стоит предупредить, что лучше ехать рано утром, т.к. чтоб ее обойти потребуется целый день, ведь ее протяженность около 15 км от торфяников до торфобрикетного завода (там меня ждал сюрприз). Я поехал на автомобиле, погода была отличная – солнце и где-то +10 выше ноля. От Минска примерно 60км по трассе Р23 и затем надо повернуть налево к деревне Белая Лужа. Нашел место где бросить авто без проблем, взял рюкзак с запасом воды и кофе и полез на железнодорожную насыпь. И сразу перед глазами открылись прекрасные виды узкоколейных путей утопающих в солнечном свете, лес и шум трассы, т.к. она совсем близко.
       
      Из этой точки есть два направления куда можно пойти: в сторону торфобрикетного завода и в сторону самих торфяников. Решил идти к торфяникам, т.к. там протяженность дороги намного больше. Но уже через километра полтора понял, что там настолько все заросло, что в один прекрасный момент можно просто не пролезть между упавшими деревьями и кустарником.

      Да и самого полотна почти не видно из-за травы, опавшей листвы и прочего. В эту сторону явно редко кто ходит, т.к. даже не видно было никакой минимальной тропинки. Мной было принято решение вернуться в точку отправки и пойти через мост над трассой в сторону завода.

      Мост прикольный, шпалы в основном нормальные, но есть и сгнившие. Идешь, а под тобой проносятся грузовики и легковушки – ощущения прикольные.

      Немного даже напомнило Чертов мост на Сахалине, но там высота намного больше (40 метров) и под ним не ездят автомобили, а находится заброшенный тоннель. Ширины моста хватает для комфортной ходьбы и не надо бояться, что можно оступиться и свалиться на дорогу. После перехода через мост перед нами снова лес и где-то километр путей, которые еще не заросли травой и кустарниками, а дальше практически такая же картина, как и на другой стороне – заросли, поваленные деревья и т.д.. Остальной путь пролегал по зарослям и в один момент пришлось просто свернуть на лесную дорогу. Вокруг не было ни души, только солнце и тишина, т.к. до трассы было уже далеко и шум автомобилей просто не мог прорваться через деревья. Местами полотно было уже разобрано: где-то не было рельсов, где-то отсутствовали и шпалы.

      Ближе к заводу стал слышен лай собак. Как оказалось, там был агрогородок Гацук, а завод снесли, старые вагоны убрали… Короче, мест для атмосферных фото там не осталось. Наступило разочарование. Назад решил не идти по путям через лес, а пошел вдоль трассы. Дошел до моста, взобрался на насыпь и сделал маленький привал с кофе. Потом снова переход по мосту и домой)

      В целом, место прикольное! Было интересно погулять по лесу с железнодорожным полотном, уходящим куда-то за деревья, погода была прекрасная!

      Разочаровало только отсутствие завода и старых вагонов…   
      Координаты места 53.355393, 27.520395.
       

       
      И да, после посещения леса не забывайте осмотреть себя на предмет клещей, всю одежду постирайте и не оставляйте после себя мусор в лесу! 
    • НиколайАбырвалг
      Как получить логи работы антивирусов на Security Center с удаленных рабочих станций
      Автор НиколайАбырвалг
      Не получить логи работы антивирусов с удаленных рабочих станций.
      Неудобно особенно когда проблемы возникают далеко.
    • d_kid
      ошибка в логах KSC 13.2 "Заканчивается или закончился срок действия лицензии"
      Автор d_kid
      При выборке событий "Критические события" в журнале выходят подобные ошибки:
      Статус устройства 'pc' изменился на 'Критический': Заканчивается или закончился срок действия лицензии.
      Обратил внимание, что подобные ошибки выходят у тех, у кого в лицензии-свойства-устройства Дата действителен до стоит 01.01.1970, хотя ключ распространял сразу на все машины. Как это исправить?

×
×
  • Создать...