• Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.

Решена Отец полазил где-то...

Статус
В этой теме нельзя размещать новые ответы.

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#1
В универ уходил и оставил качаться торрент.
Отец пока меня нет садится за комп и лазиет "в контакте".

Уж не знаю, где он так лазил, но теперь выскакивает надоедливое окно.
Посмотреть вложение 672

Причем нажав на кнопку закрыть нужно ждать 60 секунд пока окно пропадет.
Окно выскакивает поверх тех, что поверх (с приоритетом наложения +2).
Если нажать "не показывать рекламу" требует отправить смс.

Делал логи, комп жутко заглючил. куча ошибко, при которых закрытие одних окон с ошибками приводит к открытию еще десятка новых (кажется, АВЗ дрался с драйвером клавы). Сбоил процесс dwwin.exe.

Времени смотреть нет, с учебой завал...
В логах мне очень не понравился spkp.sys!
Логи прикрепил.
Посмотреть вложение 673
Посмотреть вложение 674
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#2
c:\program files\keyboard driver\cldapp.exe - необходимо проверить на www.virustotal.com

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
Код:
begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('C:\WINDOWS\system32\jspWin.dll','');
 QuarantineFile('c:\program files\keyboard driver\cldapp.exe','');
 QuarantineFile('C:\WINDOWS\system32\ntshrui.dll','');
 QuarantineFile('C:\WINDOWS\system32\msxml3.dll','');
 QuarantineFile('C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm','');
 QuarantineFile('C:\WINDOWS\system32\digiwet.dll','');
 QuarantineFile('C:\DOCUME~1\Cameroon\LOCALS~1\Temp\CpuInfo.sys','');
 QuarantineFile('C:\WINDOWS\system32\DRIVERS\ssmdrv.sys','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\a7ewi139.SYS','');
 QuarantineFile('C:\WINDOWS\System32\Drivers\aff6jp6k.SYS','');
 QuarantineFile('C:\Program Files\Opera\spellcheck.dll','');
 DeleteFile('C:\WINDOWS\system32\digiwet.dll');
 DeleteFile('C:\WINDOWS\system32\jspWin.dll');
 BC_ImportALL;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.

Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма

Внимание !!! База поcледний раз обновлялась 08.02.2009 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)
Не гут.

В логах мне очень не понравился spkp.sys!
Мне тоже димон тулз не нравится :)

Необходимо обновить базы AVZ, включить AVZPM и повторить логи. И логи RSIT я бы глянул.
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#3
Мне тоже димон тулз или алкоголь не нравится
а я все вспоминал, где же я его видел...

Добавлено через 35 минут 58 секунд
с указанием пароля: virus в теле письма
как это сделать правильно?

Добавлено через 6 минут 2 секунды
AVZPM предложил перезагрузиться для просмотра всего списка. Это обязательно или просто сделать логи заново?
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#4
Полученный архив отправьте на newvirus<at>kaspersky.com (at=@) с указанием пароля: virus в теле письма
:D это я не тот шаблон скопировал.

Надо было загрузить по ссылке (Создать тему для загрузки карантина)


AVZPM предложил перезагрузиться для просмотра всего списка. Это обязательно или просто сделать логи заново?
Перезагрузится и включить тот браузер который рекламу "крутит".
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#5
про браузер я не уверен.
пользуюсь оперой. но окно выскакивало и без нее...
однако, после того как сделал логи, оно 2 раза показалось в интервалом в несколько минут и замолкло...
сейчас тоже в опере, но окна пока не видно.

c:\program files\keyboard driver\cldapp.exe проверил. 0 из 39 попыток. хотя именно этот файл вызывал ошибку. пока делались логи выскакивало несколько десятков окошков с ошибкой, в заголовке которых стояло именно это имя, затем после закрытия группы всех этих окон в диспетчере висело много процессов dwwin.exe, завершение которых приводило к появлению первых... :)
помимо этого, клава сама нашимала клавиши (я как раз в Word'е работал).
вобщем, дождался конца логопроизводства и все отпустило.
перезагружусь и сделаю новые логи RSIT и АВЗ.
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#6

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#7
по ходу, баннер вылазиет из-под эксплорера...
одного не пойму, как он туда попал, если никто им не пользуется.

outpost дважды предупредил, что эксплорер ломится в инет:
0:41:21 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
0:41:17 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
0:41:13 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
0:41:08 Block OUT TCP 192.168.1.2 49725 83.167.112.137 3093 RST Packet to closed port
я на первые две попытки онветил отказом, потом еще через некоторое время такое же окно, опять ответил отказом, и тут же появилось еще одно такое же окно от outpost'а, но в этот момент я на клаве нажал enter и нехотя разрешил, и через несколько минут выскочило окно с майками.
 

Pili

Активный пользователь
Сообщения
42
Симпатии
81
#8
Cameroon, Здравствуйте. В опере посмотрите настройки пользовательских файлов Javascript - Ctrl+F12 -> Дополнительно -> Содержимое -> Настроить Javascript, если папка не пуста, найдите эту папку (файл) и отправьте в архиве с паролем virus на newvirus@kaspersky.com, архив можете закачать также по ссылке наверху темы, очистите поле пользовательских файлов Javascript или удалите Opera и установите заново, а лучше перейдите на Firefox c плагином NoScript
C:\WINDOWS\system32\user32.dll - у вас патченный см. здесь, поэтому тоже рекомендую отправить на проверку (хотя м.б. у вас сборка или рез-т установки VistaDriveIcon)
Обновите Adobe Acrobat и Java - Как обновить Java

У вас установлено много защитного По, которое может конфликтовать и приводить к ошибкам, например не исключены конфликты WinPatrol с Agnitum Outpost
Т.к. ошибки связаны с cldapp.EXE, переустановите C:\Program Files\Keyboard & Mouse Driver
Система у вас специфическая, поэтому рекомендую пополнить базу чистых файлов AVZ, дождаться рез-та анализа CyberHelper`ом архива, через некоторое время (база чистых обновляется не сразу) обновить базы AVZ и сделать новый лог virusinfo_syscheck.zip (2-ой стандартный скрипт AVZ), можете также выложить результаты проверки архива (по отчету CyberHelper`а)
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#9
Pili, Вы правы, система пропатчена везде, куда только можно...
До вчерашнего для ни один из этих патчер проблем не вызывал.
Стоит сборка, поверх которой я ставил различные патчи в качестве эксперимента. В них проблемы быть не может, ибо все это проверено ни раз уже.

А вот в user script вполне возможно. Ими начал пользоваться несколько дней назад. Нужно было заблокировать анкеты "в контакте" со своего компьютера. Написал скрипт, он сработал, мне понравилось и начал пробовать другие. Папку user script запаковал (в ней script.js1 - это мой скрипт, переименован для того, чтобы временно не действовать, а остальные, это скрипты данные мне знакомым).
Посмотреть вложение 682
(Этот архив оправил с паролем virus на newvirus@kaspersky.com)

java обновлю позже.

WinPatrol и OutPost друг на друга не ругаются. WinPatrol'ом пользуюсь уже очень давно, незаменимая прога, фаервол поставил недавно...

переустановка C:\Program Files\Keyboard & Mouse Driver не приводит к изменениям. Драйвер действительно кривущий :superstition:

Дождусь ответа Каспера, и потом отправлю 4 скрипт АВЗ.

На Лисичку уже несколько раз пробовал себя заставить перейти, но никак... от удобства Оперы отвыкнуть невозможно!
Хотя на другом компе пробвал, и плагин NoScript доставляет массу проблем на вервых парах...

повторюсь: во всех патчах системы я уверен, так как опробовал их несколько раз на разных компах и пользуюсь уже не первый день.
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#10
Обновление java предлагает скачать нехилый объем данных:
Download Java SE Development Kit with JavaFX (JDK 6u13 / FX 1.1) for Windows, English - 115мб
Download Java EE 5 SDK (with JDK 6 U13) Update 7 for Windows, Multi-language - 165Мб
ownload Java SE Development Kit 6u13 for Windows, Multi-language - 73Мб.

Учитываю то, что мой канал 128кб/с - это напрягает. Что качать-то?
 

Pili

Активный пользователь
Сообщения
42
Симпатии
81
#11
Cameroon, В открытый доступ такие файлы как user scripts.rar лучше не выкладывать.
По обновлению Javа, по ссылке есть инстркуция, если не пользуетесь утилитой, то вручную удалите предыдущие версии Java JRE и установите новую Java Runtime Environment JRE 6 Update 13 15.53 MB
C:\WINDOWS\system32\jspWin.dll попробуйте вернуть обратно из карантина
 
Последнее редактирование:

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#12
с помощью JavaRa удалил предыдущую версию. Результата нет.
поставил скачанную jdk-6u13-windows-i586-p (73Mb которая).

Все это время надоедливое окно так и вылазиет.
Делаю проект, жутко мешает!!!

Java Runtime Environment JRE 6 Update 13 качается.
C:\WINDOWS\system32\jspWin.dll восстановил.
 

Pili

Активный пользователь
Сообщения
42
Симпатии
81
#13
Из поля пользовательских файлов Javascript в опере не свои скрипты убрали? В других браузерах, например FF c NoScript рекламное окно появляется?
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#14
я же говорю, вообще убрал все пользовательские скрипты.
и окно появляется не в браузере!!! а просто так выскакивает поверх всех окон.

подгружается не из инета потому как при отключенном роутере тоже выскакивает.
думаю, должен быть какой-то процесс, за весь этот беспредел отвечающий...
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#15
Код:
C:\Program Files\Common Files\SourceTec\SWF Catcher\InternetExplorer.htm
Посмотри содержимое файла.

Добавлено через 1 минуту 0 секунд
И сделай лог GSI с максимальной чувствительностью.
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#16
Для чистоты эксперимента отключился от интернета, закрыл браузеры и начал чистить темпы через CCleaner и Advanced SystemCare. Этот момент опять появилось злополучное окно.
Нажав на него начинает открываться страница в браузере по умолчанию. Перед этим я специально назначил Эксплорер по кмолчанию (до него была Опера). Как и ожидал, OutPost спросил, разрешить ли доступ в сеть. Появилось такое окошко:
Посмотреть вложение 683
Получается, эта форма не подгружается из инета и не работает из-под какого-либо браузера...
 

Pili

Активный пользователь
Сообщения
42
Симпатии
81
#17
CyberHelper обработал ваш архив?
Проверьте (по логу) все файлы в процессах без цифровой подписи, не прошедшие по базе безопасных, например такие как
e:\Программы\^styling^\sidebar\vista rainbar v4 by gavatx\vista rainbar\rainmeter.exe
E:\Программы\Everest\EVEREST Ultimate.5.Portable Rus\everest.exe
и прочие, думаю квалификации у вас хватит (судя по статусу)
Попробуйте деинсталлировать DAEMON Tools Toolbar (C:\Program Files\DAEMON Tools Toolbar)
Из последних файлов/папок созданных недавно
2009-05-25 11:42:12 ----D---- C:\Documents and Settings\Cameroon\Application Data\NASA
2009-05-25 11:12:23 ----D---- C:\Documents and Settings\Cameroon\Application Data\AdSubscribe
2009-05-25 11:11:00 ----D---- C:\Program Files\NASA
2009-05-24 12:45:00 ----D---- C:\Program Files\DUHALAB
2009-05-24 12:25:49 ----D---- C:\Program Files\Aspell
2009-05-21 01:16:36 ----D---- C:\Program Files\CachemanXP
Вам всё знакомо?

Скачайте Malwarebytes' Anti-Malware здесь, здесь, здесь или здесь. Установите, обновите базы, выберите Perform Full Scan (Провести полную проверку), нажмите Scan (Проверить), после сканирования выберите Ок и далее Show Results (Показать результаты), нажмите "Remove Selected" (удалить выделенные, внимание - проверьте то, что удаляете). После удаления откройте лог и скопируйте в сообщение. Логи сканирования можно посмотреть во вкладке Logs (Отчеты), выбрав отчет и нажав кнопку Open (Открыть).
Базы МВАМ можно обновить отдельно - downloading the update MBAM

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

Установите Recovery Console по инструкции (на англ.яз) - how-to-use-combofix и здесь - скачайте установочный файл для своей ОС (например Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать этот же файл) на рабочий стол, закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix и установите Microsoft Recovery Console. Доп. см. Установочные диски для установки с гибкого диска.
После установки консоли восстановления программа предложит запустить сканирование, подтвердите, нажав Yes.
Когда процесс сканирования завершится, скопируйте (Ctrl+A, Ctrl+C) текст из C:\ComboFix.txt и вставьте (Ctrl+V) в следующее сообщение если текст не уместится в одном сообщении, продолжите его в следующем или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.

Внимание! Перед запуском сканирования обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix и не нажимайте кнопки мыши. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер.

Как использовать ComboFix - how-to-use-combofix (на англ.яз.) и здесь (на русском)
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe
 

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#18

Cameroon

Активный пользователь
Сообщения
80
Симпатии
29
#19
Pili,
e:\Программы\^styling^\sidebar\vista rainbar v4 by gavatx\vista rainbar\rainmeter.exe
E:\Программы\Everest\EVEREST Ultimate.5.Portable Rus\everest.exe
Этим я полностью доверяю. Стоят уже не первый месяц.

Malwarebytes' Anti-Malware уже давно проверил... найдено 3 подозрительных - но это 3 файла-справки, в которые упакованы журналы (для удобочитаемости). Лежат не на системном диске и уже давно.

Ответ от CyberHelper еще не пришел.

А сейчас будете смеяться...
2009-05-25 11:42:12 ----D---- C:\Documents and Settings\Cameroon\Application Data\NASA
2009-05-25 11:12:23 ----D---- C:\Documents and Settings\Cameroon\Application Data\AdSubscribe
2009-05-25 11:11:00 ----D---- C:\Program Files\NASA
2009-05-24 12:45:00 ----D---- C:\Program Files\DUHALAB
2009-05-24 12:25:49 ----D---- C:\Program Files\Aspell
2009-05-21 01:16:36 ----D---- C:\Program Files\CachemanXP
Из этих файлов я сам устанавливал все кроме C:\Documents and Settings\Cameroon\Application Data\AdSubscribe.

И вот те на! Лежит себе, гаденыш, в этой папке и гадит...
Откуда он там появился, понятия не имею, я его ТОЧНО не устанавливал.
Посмотреть вложение 686
Запустив uninstall говорит, что согласно договору (иж, какой наглец!) я должен рекламу еще 900 раз смотреть.

Руки чешутся снести его на корню через IceSword :)
Как лучше поступить с негодяем?
 

akok

Команда форума
Администратор
Сообщения
13,993
Симпатии
11,712
#20
Проверь файл
C:\WINDOWS\Finish.exe


Добавлено через 3 минуты 9 секунд
Скачайте OTMoveIt3 by OldTimer или с зеркала и сохраните на рабочий стол.
Запустите OTMoveIt3 (в ОС Windows Vista необходимо запускать через правую кн. мыши от имени администратора)
временно выключите антивирус, firewall и другое защитное программное обеспечение. Выделите и скопируйте текст ниже (Ctrl+C)
Код:
:Processes
explorer.exe

:Services

:Files
C:\Documents and Settings\Cameroon\Application Data\AdSubscribe
:Reg

:Commands
[purity]
[emptytemp]
[start explorer]
[Reboot]
В OTMoveIt3 под панелью "Paste Instructions for Items to be Moved" (под желтой панелью) вставьте скопированный текст и нажмите кнопку "MoveIt!". Выделите (Ctrl+A) и скопируйте (Ctrl+C) текст из окна под панелью "Results" (правая зеленая панель) в следующее сообщение.
Прим: Если файлы и папки не могут быть перемещены немедленно и появиться запись <deleted on reboot>, потребуется перезагрузка. После перезагрузки откройте папку "C:\_OTMoveIt\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

C:\Documents and Settings\Cameroon\Application Data\NASA
Тут что?
 
Статус
В этой теме нельзя размещать новые ответы.