Вирусы

[ddd1234567]

Файл HOST сам правил.

Вначале ещё проверил файлы Unlocker-ом (он показывает, если кто-то в данный момент обращается к ним или блокирует).

Результаты:

1) dopdfmn7.dll – к нему привязан процесс spoolsv.exe (...system32\spoolsv.exe).
VirusTotal: https://www.virustotal.com/file/becebc0aaaee87b81219479553a173e89c47ac7c00deed31121307d6f3b357d6/analysis/1356815593/

Однако, при проверке на вирустотал не было предложено использовать старый скан, значит файл проверяется впервые.
Следовательно, то, что там детект рэйтио 0/46 – ещё ни о чем не говорит.

Есть ведь иногда вероятность, что файл ещё не успел появится в базах – ни у одного антивируса (хотя, я не спец, конечно).

2) А вот насчет dopdfmi7.dll – никакой процесс его не блокирует (или не привязан к нему).

Этот файл также чист (по мнению всех антивирей). Хэш у него другой, чем у первого.
VirusTotal: https://www.virustotal.com/file/6eb2af26c549ed138a54daf7bc6a59d44dd92ec8d3f7f4e8f95e892795ba67d1/analysis/1356814958/
В свойствах описано, что это файлы от проги doPDF (которую я недавно действительно устанавливал).

Такое ощущение, что, возможно, они действительно чистые.


P.S.:
Кстати, после первой программы действительно пропал интернет.
Я уж было начал готовится к тому, чтобы расстроиться... =)

Ещё при запуске той первой программы, она в трее сразу же написала сообщение, что заблокирован вредоносный IP... или DNS?... не помню.
Но там на цифру 3 начинается, – и я его уже раньше видел на форумах, где аналогичная проблема с "novonovo.ru" описывается (тот же самый IP).

Потом инет как-то сам собой восстановился... спустя несколько часов.
А как поменять адрес DNS-сервера?...

[Andrey,pro]

Да, HOST сам правил.

нехорошо так делать Выполните скрипт и ваша проблема с  (http://novonovo.ru/?context=) исчезнет.

Запустите снова программу OTL by OldTimer . В окно Custom Scans/Fixes скопируйте скрипт:

Code: [Select]

:OTL
O17 - HKLM\System\CCS\Services\Tcpip\Parameters\Interfaces\{2B6E4065-7760-4DBC-9D6D-A81BE2B85C7D}: NameServer = 37.157.255.150

:Commands
[purity]
[emptytemp]
[CREATERESTOREPOINT]
[Reboot]

• Проверьте, что весь текст скрипта был скопирован / вставлен верно и нажмите кнопку "Run Fix"
• Компьютер перезагрузится.
• После перезагрузки откройте папку "C:\_OTL\MovedFiles", найдите последний .log файл (лог в формате mmddyyyy_hhmmss.log), откройте и скопируйте текст из него в следующее сообщение.

Внимание!!! После фикса может пропасть доступ к сети интернет, если такое произошло, введите заново в настройках сети адреса DNS-серверов, данные Вам провайдером.

ВНИМАНИЕ! данный скрипт написан только для этого пользователя,использование его на другом компьютере может привести к неработоспособности ОС!
после выполнения скрипта рекомендую обновить аваст и запланировать сканирование при загрузке.

[ddd1234567]

Проблема уже не наблюдается.

Она пропала сразу после выполнения первой программы и последующей перезагрузки.

нехорошо так делать

В смысле?... не совсем понял.
Я там просто от всяких нехороших редисок защищался, типа PuntoSwitcher, YandexBar и ещё целой кучи всяких всяких... которых уже расплодилось...
Список адресов, которые нужно блокировать в файле HOST – взял в интернете.

[Andrey,pro]

А как поменять адрес DNS-сервера?...

Вы выполнили скрипт? если нет,то  выполните его,если интернет пропадет,то
1) Пуск=> Панель управления=>Сетевые подключения=>Подключение по локальной сети (два раза кликнуть по ярлыку подключение по лок.сети в папке сетевые подключения)=>далее свойства - откроется вкладка Общие=> Протокол интернета TCP/IP=> свойства
и во вкладке общие вводите данные
ставите - использовать Следующий IP и адрес DNS сервера

[ddd1234567]

Только что прошел по вашей ссылке на настройки DNS.

Там стоит "получать IP автоматически".

А вот DNS... сейчас стоит тот самый адрес, который я видел на форумах (похоже).
"Использовать следующие адреса DNS серверов: предпочитаемый DNS-сервер — 37.157.255.150".

Что можно сделать, если я не знаю, какой адрес там стоял до этого?...
Можно ли как-то узнать его самостоятельно?... Или придется обращаться к провайдеру/соседу? (у нас общий инет через роутер)

Скрипт пока не выполнял, - т.к. не хочется остаться опять без инета =).

PS: вообще, до этого, я никакой DNS не вводил никогда.
Он видимо автоматом подключался как-то, который по-умолчанию должен идти?...
Подключился сосед, возможно, он что-то и вводил... ну, а я уже просто к нему присоединился.

UPD.
Так... Посмотрел по IP Config /All адрес шлюза... Изменил DNS на 192.168.1.1. Изменил IP на 192.168.1.2. Плюс маска подсети 255.255.255.0.
И инет пропал.

Изменил IP на "Получать автоматически", и инет появился. Вуаля... Выполняю скрипт...

Спасибо, вам за ценную ссылку настроек сети.

Кстати, TDSKiller, отрапортовал, что ни одной угрозы он не нашел.
Впрочем, если поставить галку "проверять цифровые подписи" нашлось сразу несколько десятков. )

UPD-2.

Выполнил скрипт в OTL, вот его лог:
http://narod.ru/disk/64962593001.eb0549bcd6f287062fb212ceb2bf07a4/Лог%20Фикса.7z.html (пароль: "Пароль12345" - без кавычек)

Andrey,pro. Спасибо, за помощь. =)

[Andrey,pro]

рад был вам помочь malwarebytes anti-malware можете удалить,т.к пробная версия вроде на 30 дней, лучше установите бесплатную версию и используйте как сканер. Насчет касперского-то ничего страшного,просто у некоторых файлов нет цифровой подписи. По логу заметил проблему с созданием контрольной точки восстановления системы,у вас отключено восстановление системы?если да,то лучше включить.
UPD
можно еще новый лог malwarebytes anti-malware,у вас логи сделаны:  Версия базы данных:  v2012.12.14.11 ,а то я вижу вы представили на форуме eset nod32 другие логи,если все как там,то нужно все удалить,что нашел  malwarebytes anti-malware  http://forum.esetnod32.ru/messages/forum6/topic8249/message60477/#message60477

[ddd1234567]

Сейчас как раз запустил полное сканирование программой Malwarebytes Anti-Malware.
...т.к. заметил, что при запуске uTorrent стали через каждые 3-60 секунд появляться сообщения о блокировке вредоносных IP.

А на том форуме (ссылку на который вы привели выше) я, вроде бы, ничего не писал. =)

Быстрым сканированием уже опять проверял, - данная программа ничего не нашла.

Службы проверил:
Служба восстановление системы запущена: "Состояние: Работает", — и стоит параметр "Тип запуска: Авто".

Но я раньше и сам замечал, что она почему-то не работает, странно.

Возможно даже, что я когда-то сам её отключал... только не помню точно.
Я мог это сделать... может быть, ради экономии места на диске.
Но не помню, - каким образом... Может быть, через реестр?

Как вы думаете, может ли такое быть, что где-нибудь она отключена, но в списке служб тем не менее - запущена?

Теперь действительно... хотелось бы её включить обратно.

[Andrey,pro]

скачайте прикрепленный файл, переименуйте его в restorefix.reg запустите,добавьте изменения в реестр,после этого перезагрузите компьютер и попробуйте создать контрольную точку восстановления системы.

А на том форуме (ссылку на который вы привели выше) я, вроде бы, ничего не писал. =)

приношу свои извинения, обознался а перед полным сканированием вы обновили базы malwarebytes anti-malware? насчет тех файлов,которые не определялись авастом-эти файлы не содержат в себе вирусного кода.

[j.bonzo]

...насчет тех файлов,которые не определялись авастом-эти файлы не содержат в себе вирусного кода.

Потому что на virustotal нет детекта от ЛК? Блажен кто верует... в Аваст.
Откуда в логах MBAM взялся пропущенный Авастом Malware.NSPack?
Отсюда:
https://www.virustotal.com/file/38d8230f3bc0f0614cf9142cc822b25b224350f15210d4f6d8f96993abda0237/analysis/
https://www.virustotal.com/file/b5296cf0eb22fba6e2f68d0c9de9ef7845f330f7c611a0d60007aa87e270c62a/analysis/
https://www.virustotal.com/file/1e9b7f28e62356dfc153b68d97cb6512b255461de942c9a041284543d91dfb76/analysis/

[Andrey,pro]

...насчет тех файлов,которые не определялись авастом-эти файлы не содержат в себе вирусного кода.

Потому что нет детекта от ЛК? Блажен кто верует... в Аваст.
Откуда в логах MBAM взялся пропущенный Авастом Malware.NSPack?
Отсюда:
https://www.virustotal.com/file/38d8230f3bc0f0614cf9142cc822b25b224350f15210d4f6d8f96993abda0237/analysis/
https://www.virustotal.com/file/b5296cf0eb22fba6e2f68d0c9de9ef7845f330f7c611a0d60007aa87e270c62a/analysis/
https://www.virustotal.com/file/1e9b7f28e62356dfc153b68d97cb6512b255461de942c9a041284543d91dfb76/analysis/

>C:\Users\Dimarik\Downloads\virus\virus\Трейнер 1.3 +10 (Black Ed.) {Teleport}.exe - packed by UPACK
>C:\Users\Dimarik\Downloads\virus\virus\Трейнер 1.3 +10 (Black Ed.) {Teleport}.exe - infected with Trojan.MulDrop.19533
>C:\Users\Dimarik\Downloads\virus\virus\Трейнер 1.3 +10 (Black Ed.) {Teleport}.exe - infected
>C:\Users\Dimarik\Downloads\virus\virus\Trainer 1.1 +8 - TMV\Need For Speed Most Wanted Trainer v1.1.exe - packed by NSPACK
>C:\Users\Dimarik\Downloads\virus\virus\Trainer 1.1 +8 - TMV\Need For Speed Most Wanted Trainer v1.1.exe - infected with Trojan.DownLoader1.611
>C:\Users\Dimarik\Downloads\virus\virus\Trainer 1.1 +8 - TMV\Need For Speed Most Wanted Trainer v1.1.exe - infected
>C:\Users\Dimarik\Downloads\virus\virus\Trainer 1.1 +8 - TMV\Readme. Trainer v1.1.txt - Ok
>C:\Users\Dimarik\Downloads\virus\virus\Трейнер 1.3 +19\pzn-nfst.exe - packed by FSG
>>C:\Users\Dimarik\Downloads\virus\virus\Трейнер 1.3 +19\pzn-nfst.exe - packed by FLY-CODE
>C:\Users\Dimarik\Downloads\virus\virus\Трейнер 1.3 +19\pzn-nfst.exe - Ok
>C:\Users\Dimarik\Downloads\virus\virus\Трейнер 1.3 +19\pzn-nfst.nfo - Ok
>pzn-nfst.exe - drweb.com #3777583 (находится в базе доверенных (чистых) файлов Dr.Web)

Ну тут два фолса (Trojan.MulDrop.19533, Trojan.DownLoader1.611) и один чистый ;-)

http://forum.drweb.com/index.php?s=c9125cbb5708a25049eed37468856fb7&showtopic=312216

[ddd1234567]

Andrey,pro
Спасибо, за этот фикс в реестре. 

Уже поставил (точку пока создать не пробовал).

[Andrey,pro]

Andrey,pro
Спасибо, за этот фикс в реестре. 

Уже поставил (точку пока создать не пробовал).

попробуйте, может не будет работать   

[ddd1234567]

Не понимаю, кто-то всё равно "стучит" в интернет с моего компа? ("Тип: исходящие")

uTorrent закрыл, и всё позакрывал, вообще, значит дело было не в нем:
http://i53.fastpic.ru/big/2012/1230/57/37ed6d6f5d624c097f39a51b4ab23957.png

Ну, это я про то, что раньше писал, что после проверки вылазят эти окошечки.
Я раньше связывал это с uTorrent, потому что сразу его запустил, видимо.

IP меняются, но их немного, кажется, часто повторяются.
Сами сообщения вылазят через каждые 5-10 секунд (приблизительно).

Проверку отменил, слишком долго (9 с лишним часов).
...за время которой на диске C:\ - ничего не было найдено.

P.S.: а точку восстановления, вроде бы, теперь получилось создать
("Справка и поддержка" -> "Отмена изменений..." -> "Создать...").

[Andrey,pro]

ip принадлежит Китаю, предыдущий принадлежал Германии...
проверьте еще на всякий случай свой компьютер на вирусы утилитой Dr. web CureIt!: http://www.freedrweb.com/cureit
проверьте опять dns адрес, если днс в порядке и у вас не будет найдено вирусов,то нужно смотреть компьютер соседа

[ddd1234567]

Проверил DNS... вроде бы, в порядке (стоит опция "Получать IP и DNS автоматически").

Кстати... когда зашел в папку с теми трейнерами, – то Anti-Malware поместила в карантин один из них (у которого в названии "... Teleport").

Проверил ещё программой "aswMBR":
aswMBR – http://i53.fastpic.ru/big/2012/1231/5b/64591b8e0dfdf965404013c52595f85b.png
(отчет – http://narod.ru/disk/64996572001.6dab279d62f18c35f8b3c7e4052cdf48/aswMBR.7z.html)

... и ещё быстрым сканированием Avast
Avast – http://i53.fastpic.ru/big/2012/1231/d1/58b33e5075934dc420ed5718a07810d1.png

Касательно Avast, два подозрительных файла (с пометкой [Susp]) из папки FreeArc – на VirusTotal показали результат 1/46 оба (проверялись там до меня с тем же результатом).
А два нижних файла в отчете Avast, - их скорее всего можно считать "ложной тревогой". Они идут в комплекте с Total Commander, – никогда не запускал.
...ну, а тот, что в page-файле, то это, быть может... что-то действительно подозрительное.

CureIt поругался только на файл HOSTS, написав, что "Возможно, угроза DFH.HOSTS"... если память не изменяет.)