k750i - посмотрел + ещё rambler.ru и google.ru , как с этой хренью бороться??? антивирь ничего не нашёл, файервол молчит..  [18.07.2007г. 23:34:15]
tyler_nn - Это вирус, у мну с поисковиками всё нормально [18.07.2007г. 23:36:05]
k750i - а посмотреть можешь в поисковике набрав адрес http://confid.ru/stop.php может что выдаст, или как лечить это! Реально выручишь  [18.07.2007г. 23:41:08]
k750i - хм... а адреса http://yaFID.cn и http://comFID.ru чем-то похожи...полюбому эта дрянь сидит, восстановление системы ничё толком не дало, сканировал процессы, там ничего лишнего.  что-то в последнее время вещи странные творятся, билинг постоянно загружен, оплата происходит ночью, хотя оплачиваю утром. На сайте в админке откуда-то взялся редирект на takesname.info , эта дрянь похуже, avp обходит. И этот адрес кто-нибудь может набрать??? [18.07.2007г. 23:44:38]
tyler_nn - http://confid.ru/ это хостинг компания, попробуй у Касперского на сайте протеститься онлайн [18.07.2007г. 23:52:02]
WEB - у меня тож проблемка 
курсор от мышки передвигаться стал только горизонтально, жму на стрелки клавиатуры
чё делать - х.з., ужо всё перепробовал  [18.07.2007г. 23:59:17]
k750i - tyler_nn я вкурсе что это хост компания, есесно, а вот что я выяснил, а то что русскими поисковиками этот проект не индексируется практически, а вот буржуйскими, ну например yahoo или msn индексируется ого-го как. Вывод есть, что что-то тут не так, что какая-то связь с иностранным сайтом с вирями есть(я про http://yafid.cn) и темболее кто может знать? может это списанный шаблон и там одна wm наёбка? Кто-нить юзал этот хост вообще??? хотя это не к чему, но ведь вирь зачем-то направляет на них? может это тоже ихней проект, а может этот вирь нужен только для насильственного перехода и покупки хоста на их сайте  [19.07.2007г. 00:01:12]
Единица прописью - 2 Web, какая у тебя мышка? инва-ред, шариковая, блятуз??  [19.07.2007г. 00:18:34]
k750i - цитата:инва-ред, шариковая, блятуз
мне две пожалуйста, если можно, то в пакетик упоковать  ....ну блииин...может мне кто-нибудь поможет, без поисковика херовато живётся [19.07.2007г. 00:22:57]
WEB - to Единица прописью, обычная шариковая [19.07.2007г. 00:23:55]
Cовет на все времена! - k750i Формат ЦЭ! [19.07.2007г. 00:36:21]
k750i - Cовет на все времена! ты чО??? нееетт, ну нахуй. У меня вся база на винте с селебами  ни в коем случае [19.07.2007г. 00:38:59]
k750i - или ещё одна мысль, пидорки с вирусами походу редиректят на свой другой, а тот нарушил правила хостера, его дельнули и редиректнули на хостера, так более правельнее скорей всего [19.07.2007г. 01:06:58]
5ergi0 - А мысль не использовать IE у тебя не мелькала? [19.07.2007г. 01:23:06]
Real1ty - Сержио сгенерил очень достойную мысль  [19.07.2007г. 01:33:37]
Скотобаза - WEB, У меня такая же хрень была, как оказалось, мышка просто свой ресурс отработала. [19.07.2007г. 07:03:33]
ReWriter - Я бы тебе посоветовал протестить свой комп AVZ
так же банальным Ad-Aware, скачай себе RootkitRevealer и ProcessExplorer.
Если помнишь когда это началось, поставь поиск всех новых *.exe, *.dll на своем компе. Когда найдешь вирь - то просто переименуй файл, удалишь уже после перезагрузки.
Любой подозрительный файл можешь проверить на www.virustotal.com
Хороший наш сайт www.virusinfo.ru там тебе тоже помогут. [19.07.2007г. 10:31:23]
ReWriter - упс, www.virusinfo.info [19.07.2007г. 10:41:39]
k750i - ReWriter ну это я первым делом сделал, через процексплор я удалил парочку вредных процессов и после сами эти файлы, ad-Aware ничего практически не нашла. А у оперы тот же косяк, низнаю чё делать [19.07.2007г. 12:35:09]
5ergi0 - Бля, хайджеком лог сделай, посмотрим... [19.07.2007г. 12:45:38]
k750i - 5ergi0 яже пишу, что с процессами у меня всё в порядке, я уверен. Смысл твоего хайджека тогда? [19.07.2007г. 12:58:11]
5ergi0 - 1. Ну если ты уверен, тогда что тут сказать...
2. Кроме процессов там видно настройки поиска, DNS, прокси, префиксы URL и еще много чего.
3. Судя по п.1, ты вообще тут зря спрашиваешь, тебе все херню советуют. [19.07.2007г. 13:45:13]
k750i - 5ergi0 как обычно я спрашиваю и сам нахожу ответ мой опыт в денвере помог мне, вообщем редирект вызвала вот эта херня: C:\WINDOWS\system32\drivers\etc\hosts троян записал вот эти значения цитата:
Я соотсно удалил всё и теперь всё лады.. Всем пасасибо [19.07.2007г. 16:06:54]
k750i - 5ergi0 а вот последняя проблема осталась, на одном порнушном сайте постоянно подхвачивается хрень, называет себя 1.exe и сохраняет в с:\windows . Раньше, когда не было avp у меня трафик отправлялся раз в 10 больше чем получал. Сейчас касперович успешно справляется и блокирует "украденный" траф, но суть этой хрене осталось, у меня все картинки сохраняются в bmp и весят ого-го скока! Не стоит только писать нубовские хрени, типа удали кукисы, Temporary Internet Files и прочей чуши. Это не помогает, а проблема напрягает. Есть идеи как удалить это??? P.s ключи в реестре в метках run удалил [19.07.2007г. 16:15:55]
5ergi0 - лог HJ... [19.07.2007г. 17:04:47]
ReWriter - на самом деле сначала нужно файл переименовывать, а потом после перегруза удалять.
П.С.
а ты свою систему на руткиты проверил, процесс эксплорер их не сечет.
Лог HJ тоже не помешает ) [19.07.2007г. 17:34:03]
k750i - 5ergi0 ну собстно я на месте не сижу, я определил что процесс при загрузки внедряется в explorer.exe , выделяя дополнительную память на ресурс! Антивирь не успевает его сечь, так как у виря приоретет выше, а после он автоматом выгружается.
ReWriter
??? как ты его переименуешь если он сидит в процесах? глупости. Я сначало снял его в таскмене, а после дельнул. На руткиты у меня другая прога есть, проверил, нашлись, удалил. Проблема осталась) [19.07.2007г. 17:42:12]
Нацист [Палестина снова в огне] - все чё то стали теперь вирусы ловить.... [19.07.2007г. 19:39:38]
ShTiRLiC_404 - цитата:Антивирь не успевает его сечь, так как у виря приоретет выше
Ох насмешил, респект! Если бы все антивири рассчитывали на скорость, они были бы вообще бесполезны. Поставь себе NOD32 вместо касперского и Outpost Firewall чтобы следить, что куда лезет в Инет. И IE выкинь как можно скорее. Никаких вирей не будет и утечки левого трафика, если базы будешь обновлять регулярно. [20.07.2007г. 03:37:13]
ReWriter - k570i
поверь, Винда позволяет переименовывать исполняемые файлы, но не позволяет их удалить (получишь мессагу "файл используется") Вот поэтому их обычно переименовывают, а потом уже удаляют после ребута. Ибив процесс - не факт что сможет чисто удалить вирь - он может себе прописать и запускаться уже с другого файла - или вообще внедриться в легальный процесс.
НОД кстати имеет предварительный загрузчик AMON, он грузится раньше основного антивиря.
Можно загрузиться в безопасном режиме и чистить оттуда.
P.S.
если ты совсем крут - юзай SoftIce и иже подобные =) [20.07.2007г. 14:04:52]
|
http://img181.imagevenue.com/img.php?image=86582_e_122_8lo.JPG при наборе адреса ya.ru или yandex.ru у меня во чё выдаёт?? может это только у меня, а то сегодня поймал такую хрень, что маскирует все известные поисковики и переходит сюда http://yafid.cn (сюда не заходить, ибо вирь страшный) Странно просто, яндекс просто физически не может использовать чужой вирт сервер, они писали что у них 12 своих ...хз