Mail

[HeliosNet]

Здравствуйте есть проблема.
Время от времени на пк скрытно устанавливается всякий мусор маил.ру а именно
гвард маил ру
спутник маил ру
служба автоматического обновления программ( со значком маил)
кокойто браузер
программа одноклассники
на роб столе поевляется фаил w1.exe
и при этом меняет стартовую страницу браузера на маил ру иногда на webalta.ru
при этом аваст не когда не сигналит.
http://fastpic.ru/view/52/2013/0320/...f80ef.jpg.html
почитал в нете про это посоветовали Malwarebytes Anti-Malware просканировать систему прога нашла 1 троян видный на скрине.
порекомендуйте что нить буть уже сил нет что с этим делать
вот нашол файлы распаковки архива w1.exe называется w1_17223935_162.exe.

[regist]

1) Сделайте логи по правилам раздела, раздел Диагностика http://nowa.cc/showthread.php?t=293838
2) прикрепите лог сканирования MBAM найти его можно в следующей папке:

Код:

%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs

Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2012-11-09 (07-32-51).txt

[HeliosNet]

Вот логи вроде бы всё правильно сделал.

[ispolin]

HeliosNet,

Цитата: Внимание !!! База AVZ поcледний раз обновлялась 30.01.2013 необходимо обновить базы

Цитата: AVZ версии 4.40.1 private build

почему логи сделаны полиморфной версией утилиты?

Сделайте логи RSIT.

[HeliosNet]

скрин

логи сделал и ещё была какая то странная фигня аваст за 2 мин блокирнул 102 опасных объекта скрин выше.
Косательно AVZ у меня строка обновления баз не нажимается она затемнена тоесть на неё не нажать.

[regist]

1) Скачайте обычный AVZ (не полиморф), скачать можно здесь http://z-oleg.com/avz4.zip
2) Обновите базы и сделайте новый лог.
3)

Код:

var
LogPath : string;
ScriptPath : string;

begin
 LogPath := GetAVZDirectory + 'log\avz_log.txt';
 if FileExists(LogPath) Then DeleteFile(LogPath);
 ScriptPath := GetAVZDirectory +'ScanVuln.txt';

  if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
    if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
       ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
       exit;
      end;
  end;
 if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.

После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к Java Runtime Environment, Adobe Reader и Adobe Flash Player, это программы, уязвимостями в которых наиболее часто пользуются для внедрения зловредов в систему.
4) Если можно пришлите пару файлов из тех, что аваст забрал в карантин на почту
Заархивируйте в zip архив с паролем virus и отправьте на почту . Подробней как правильно присылать файлы можете почитать здесь.

ЗЫ. то что заблокировал аваст скорей всего и есть онлайн установщик вебальты.

Добавлено через 10 минут
Видно, что у вас установлен [email protected] - если он не нужен, то деинсталируйте его сначала через установку и удаление программа, а потом если что скриптом дочистим. Возможно при установке какой-то программы вы не заметили/забыли снять галочку на его установку и поэтому он установился.

[HeliosNet]

AVZ скачал новый обновил.
Нажимаю выполнить скрипт- вставляю туда код который вы дали прога выдает - Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!- Скрипт выполнен без ошибок.
AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip а эти логи тоже новые сделать ?
Касательно маил гварда, после последнего случая скрытой установки всяких маил спутников и одноклассников ( маил гвард тоже вместе с ними всегда устанавливается) решил его не удалят и посмотреть что будет может он будет блокировать всякую перхоть. И ещё заметил одну закономерность все эти спутники гварды и т д устанавливаются во время просмотра он лайн футбольных трансляций или после просмотра через соп каст и торент стим, чаще всего.
Скрипт выполнился выдал Часто используемые уязвимости не обнаружены- Скрипт выполнен без ошибок. скрипт выполнился только с включенным интернетом.

[regist]

Цитата: Сообщение от HeliosNet Скрипт выполнен без ошибок. скрипт выполнился только с включенным интернетом.

да извините, забыл об этом предупредить.

Цитата: Сообщение от HeliosNet AVZ скачал новый обновил. AVZ - virusinfo_syscure.zip, AVZ - virusinfo_syscheck.zip а эти логи тоже новые сделать ?

да, именно их надо обновить. + было бы интересно взглянуть на файлы, которые аваст удалял (жду карантин на почту).

Цитата: Сообщение от HeliosNet И ещё заметил одну закономерность все эти спутники гварды и т д устанавливаются во время просмотра он лайн футбольных трансляций или после просмотра через соп каст и торент стим, чаще всего.

обычно при установке разных программ если не заметить галочку на установку их тулбара.

[HeliosNet]

Вирусню отправил ещё днём 2 файла.

обычно при установке разных программ если не заметить галочку на установку их тулбара.

Я это понимаю но тут другой случай при установки не было недочётов галочек, прикол в том что ПК засераеться барахлом чаще всего после их использования тоесть соп каст, торент стим(онлайн ТВ),и у меня есть тв на компе от провайдера смотрю через IP TV плеер, и складывается такое ощущение что при включении итих программ открывается какой то канал по которому на пк летит всякая конефоль, просто замечал что авто установка всяких майлов происходит в ночные часы и фотбол я тоже смотрю ночами вот в процессе просмотра чаще всего и происходит эта установка, и если просканировать после установки систему Malwarebytes Anti-Malware прога находит троян adware.downloader.

новые логи зделал.

[regist]

- сделайте лог Combofix

[HeliosNet]

лог зделал.

[regist]

- Удалите Combofix

Деинсталируйте [email protected] и AlterGeo HTML5 location provider и понаблюдайте несколько дней за проблемой. Файлы на которые ругался аваст больше не появляются ?

Код:

c:\windows\system32\w1.exe

- тоже пришлите в карантин, как присылать вы уже знаете.

[HeliosNet]

w1 нашол в указанной дериктории но AVZ ен находит его я пробывал с подставкой *
аваст пока молчит.

[regist]

Давайте попробуем его скриптом забрать

Закройте все программы

Отключите

- ПК от интернета/локалки.
- Антивирус и Файрвол

Выполните скрипт в АВЗ -

Код:

begin
 QuarantineFile('c:\windows\system32\w1.exe','');
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

После выполнения скрипта компьютер перезагрузится.

- Файл quarantine.zip из папки AVZ пришлите на почту , укажите в письме ссылку на тему, в которой просили прислать файлы.

понаблюдайте, что с проблемой и будет ли снова устанавливать этот мэйл.ру

[HeliosNet]

Скрипт создал указанную вами папку после выполнения комп не перезагружался, перезагрузил сам.
файл сейчас отправлю.
с того дня как создал эту тему пока не чего не было. сейчас на выходных футбол будет буду смотреть установится или нет.
а если будушем он всё таки установится опять что нужно будет делать ?