15 ответов в этой теме

[KOSTYA NOVIKOV]

обнаружил при сканировании вот такую вот фиговину ADWARE.DOWNWARE.16. Нигде не смог найти описания и понять что это такое...спрашиваю потому что сегодня при попытке войти на сайт вконтакте я столкнулся с тем что мне было предложено ввести логин и пароль( то есть прсто высКочила стартовая страница контакта) это меня насторожило так как накануне я был авторизован. Ну думаю блин чёж делать- ввел и то и другое( а почему я должен был не вводить?) - но не тут то было тут так ненавязчиво появилась маленькое окошко с просьбой ввести свой номер телефона чтоб сделать валидацию аккаунта ( не отправить смс а именно просто ввести номер в окно) чтобы убедиться что я якобы не бот( точный текст не помню) .Далее было написано что мне на номер прийдет код подтвеждения который надо ввести в окно. Я взял и ввел без опаски свой номер( так как на счетубыло минус 99 рублей- порог отключения- минус 100) . И нажал отправить- посе чего появилось сообщение в окошке что мой оператор не поддерживается( мегафон) . Ту окончательно до меня дошло что это вирус который подменил настоящий контакт с фальшивым. Чтоб окончательно убедиться я зашел с другого компа где всё прекрасно работало.Ну так вот. сканирование cure it показало что модифицирован файл хостс- я нажал востановить- хотя до этого я самостоятельно смотрел этот файл и он был обычным. хотя там отсутствовала строка 127.000 - что то типа такой. но я не придал этому значения. больше там ничего подозрительного я не видел). Быстрое сканирование ничего не выявило. но вирус явно был и видимо есть так как хотя бы при попытке открыть папку мои документы- эта папка сразу же закрывается!!! ..После этого я загрузил компьютер в безопасном режиме от имени администратора( у меня XP ) И запустил cure it в режиме усиленной защиты . приблизительно чере 5 часов сканирования в кеше гугл хрома антивирус нашел вышеуказанную гадость ADWARE.DOWNWARE.16 .после этого сканирование продолжалось ещё 9 часов и у меня не выдержали нервы я нажал остановить сканирование. ( оно шло уже около 15 часов а проверено было всего четверть диска с ) это при том что там всег то 20 гб. я прикинул что ждать окогчания сканирования ещё 50 часов я не смогу. Хотя компьютер довольно быстрый. В бщем я так понимаю там остались ещё вирусы. ГОСПОДА. СКАЖИТЕ ЧТО МНЕ ДЕЛАТЬ. и что это за обнаруженная программа вредоносная -какое у неё назначение? и какие папки мне следует просканировать так как сканить всё 60 часов я не могу...

[mrbelyash]

Очень похоже на обыкновенную валидацию вконтакта...и насколько я помню менафон таки не поддерживался

[KOSTYA NOVIKOV]

Очень похоже на обыкновенную валидацию вконтакта...и насколько я помню менафон таки не поддерживался

нет это не обыная валидация так как с другого компьютера всё заходится без проблем и никаких подтверждений не требуется- а с этого проверил ещё раз опять вылезает эта картинка. притом так происходит на всех аккаунтах( их у меня 3) а на другом компе все три прекрасно заходят.

пс- я на свой страх и риск ввел номера ещё 2 оставшихся операторов- тоже самое. - оператор не поддерживается.
и что это за программа повторюсь такая? кстати могу точно утверждать что сутки назад её(ADWARE.DOWNWARE.16). в компьютере не было.а теперь откуда то взялась. Папка Мои документы по прежнему закрываются при попытке открытия.

[mrbelyash]

делайте логи по правилам
http://forum.drweb.com/index.php?showtopic=277652

--------------
Заодно проверьте не включен ли прокси и есть ли файл
%windir%\system32\NTIONET6.SYS

[KOSTYA NOVIKOV]

делайте логи по правилам
http://forum.drweb.c...howtopic=277652

--------------
Заодно проверьте не включен ли прокси и есть ли файл
%windir%\system32\NTIONET6.SYS

я не могу просканировать диск с программой CureIt этот процесс длится бесконечно долго. она почему то проверяет по одному файлу в секунду. а их около 400000 . без неё можно?

[mrbelyash]

делайте логи по правилам
http://forum.drweb.c...howtopic=277652

--------------
Заодно проверьте не включен ли прокси и есть ли файл
%windir%\system32\NTIONET6.SYS

я не могу просканировать диск с программой CureIt этот процесс длится бесконечно долго. она почему то проверяет по одному файлу в секунду. а их около 400000 . без неё можно?

В правилах не написано -сканировать весь диск

[pig]

Очень похоже на обыкновенную валидацию вконтакта...и насколько я помню менафон таки не поддерживался

Когда оно валидировало меня, то под активации на Мегафон пришёл. Но это было почти три года назад, могли и поссориться.

[KOSTYA NOVIKOV]

mrbelyash, 16 October 2011 - 02:06, написал:Очень похоже на обыкновенную валидацию вконтакта...и насколько я помню менафон таки не поддерживался
Когда оно валидировало меня, то под активации на Мегафон пришёл. Но это было почти три года назад, могли и поссориться.

я на ВСЕХ аккантух валидацию прошел уже полгода назад. Валидация тут не при чем . Я ж говорю это окно ОЛТИЧАЕТСЯ от оригинального которое появляеся на оригинальном сайте вконтакте...я по моему подробно всё описал. и что то найдена непонятная вредоносная программа( которую так никто мне и не описал) . и что оригинальный Сайт вконтакте подменяется на поддельный . Это я уже сам понял . логи сделаю. пришлю результат ( я надеюсь что сделаю) еслит там новых фокусов не обнаружится.

[KOSTYA NOVIKOV]

cure it с горем пополам нашел вот это win32.HLLP.ROX23 - по описаниям в инете понял что это он тормозит проверку...

[KOSTYA NOVIKOV]

кстати ввел в то окно "контакта" левый номер после чего появилось сообщение "отправте ОТВЕТНОЕ смс с кодом 253678"...приплыли...

[KOSTYA NOVIKOV]

проблема была решена установкой и проверкой Диска "с" программой-утилитой от касперского "kaspersky virus removal tool "эта утилита за 35 минут нашла много всякой фигни которую не мог найти доктор веб за почти 30 часов проверки(!!!) в тех же самых папках. Вот список найденного касперским
Exploit.Java.CVE-2010-0840.db (5 штук )

Virus.Win32.Xorer.ew (4 штуки)


Trojan.Win32.Qhost.xfr именно эта последня фиговина и была программой которая меняла соответствие доменных имен IP-адресам .

Почитать можно ио ней тут http://www.securelist.com/ru/descriptions/101174/Trojan.Win32.Qhost.e
почему доктор вэб нифига не нашел- для меня загадка....я всегда ему доверял- много лет...оказалось зря....тут он меня подвел...

[mrbelyash]

О,да.....я так давно не ржал

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
‪1.‬Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
‪2.‬Изменить модифицированный файл %System%\drivers\etc\hosts, используя любое стандартное приложение (например, Блокнот (Notepad)). Требуется удалить все добавленные троянцем строки. Оригинальный файл hosts выглядит следующим образом:

Да набить тупой rar-sfx с батником или reg и вот тебе мего-троян


-------------
логи нужно было делать

Сообщение было изменено mrbelyash: 16 Октябрь 2011 - 23:36

[KOSTYA NOVIKOV]

поставил на поную проверку- там ещё тьма всякой фигни повылезала помимо тех. в общм буду дальше разбираться сам.

[mrbelyash]

т.е. тему закрывать?

[KOSTYA NOVIKOV]

О,да.....я так давно не ржал

Рекомендации по удалению

Если ваш компьютер не был защищен антивирусом и оказался заражен данной вредоносной программой, то для её удаления необходимо выполнить следующие действия:
‪1.‬Удалить оригинальный файл троянца (его расположение на зараженном компьютере зависит от способа, которым программа попала на компьютер).
‪2.‬Изменить модифицированный файл %System%\drivers\etc\hosts, используя любое стандартное приложение (например, Блокнот (Notepad)). Требуется удалить все добавленные троянцем строки. Оригинальный файл hosts выглядит следующим образом:

Да набить тупой rar-sfx с батником или reg и вот тебе мего-троян


-------------
логи нужно было делать

сделаю. тут вон куча всякой мути ещё обьявилась -ума не приложу откуда оно... у меня компьютер только для записи музыки( я музыкант) и контакта и форума на муз сайте. Где я это всё подцепил хз...ничё не пойму...а главное помню что в тот ден когда всё появилось я нигде не лазил совершенно однозначно.

[KOSTYA NOVIKOV]

т.е. тему закрывать?

нинада...можт пригодиться кому.да илоги я всё ж сделаю. жалко будет угробить кучу муз проектов которые хранятся на этом компе) меня прибьют за них..а вообще над было мне всё скопировать ценное с него...