autoua
×
Autoua.netФорумІнформатика та побутова електроніка

это вирус или где?... нужен совет

важничающий писатель ***
Киев
Сообщения: 1721
С нами с 20.12.2006

это вирус или где?... нужен совет
      16 ноября 2008 в 21:52 Гілками

есть две машины (локальная сеть) подключены через роутер,( один с хр, второй с 98 виндой) до пятницы было все гут, началось все когда открываешь страницу в мозиле. нода выдает сообщение(Фильтр HTTP файл http://do.qwertyy.cn/do.htm JS/TrojanDownloader.Iframe.NBM троянская программа соединение прервано - изолирован VATE-E5F Обнаружена угроза при попытке доступа в Интернет следующим приложением: C:\Program Files\Mozilla Firefox\firefox.exe.) если открываешь следующую отдельную страницу то тоже самое сообщение, и так на двух машинах.
сперва бало часа3, потом перерыв( тоесть открываешь страницы, работает все, ничего не вылазит) теперь такие сообщения появляются не часто, ну раз-от 2до 5 в час.

проверила на вирус, машина чистая, проверяла обе, базы вируса свежие( на одном нод 3, на второй 2)
проверила еще вот на этом сайте(http://www.it-sec.de/vulchke.html там один из пунктов The remote host is infected by a virus не могу понять это машина провайдера заражена или моя?, там еще инфы 100 пунктов)
скажите что делать ... это смертельно или можно жить . так чтобы это сильно не напрягает.

или по поводу вируса напрячь провайдера.

скажите где смотреть( только для кактусов... а то я как нахомутаю.. вообще ничего работать не будет:))


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (21 год за рулем), Херсон
Сообщения: 13738
С нами с 23.10.2003

Re: это вирус или где?... нужен совет [Re: Lika_n]
      16 ноября 2008 в 23:29 Гілками

Скорее всего 2 компа заражены.
Инет откуда берется? На ХР файрвол включен?
НОД давно обновляли?
Если обновленный НОД ничего не находит, качаем Dr.Web LiveCD и проверяем комп.
Если опять ничего не находит- можно попробовать вместо НОДа установить последний Каспер со всеми обновлениями и проверить. Хотя, если есть возможность снять hdd и проверить на другом компе, то ставим туда Каспер, подключаем винт и проверяем этот винт.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
важничающий писатель ***
Киев
Сообщения: 1721
С нами с 20.12.2006

Re: это вирус или где?... нужен совет [Re: Water]
      16 ноября 2008 в 23:55 Гілками

нод обновляли постоянно, На ХР файрвол включен. инет -- локальная сеть-- ланет - на святошино.снять винт не получиться-- бук, и вопрос-- вирус по времени может работать( выскакивать нодовская информация), или он постоянно должен себя проявлять?

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
V.I.P ***
50 лет (21 год за рулем), Херсон
Сообщения: 13738
С нами с 23.10.2003

Re: это вирус или где?... нужен совет [Re: Lika_n]
      17 ноября 2008 в 00:03 Гілками

Снять можно все
Тогда качайте Live CD от Др. Вэба и проверяйтесь. Если нифига- 8-й Касперский со всеми обновлениями.
Это троян, гуглим.
Вкратце, троян подменяет МАК адреса, arp таблицы. Можно бороться если роутер позволяет прописать каждому порту какой соответствует МАК.


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
важничающий писатель ***
Киев
Сообщения: 1721
С нами с 20.12.2006

Re: это вирус или где?... нужен совет [Re: Water]
      17 ноября 2008 в 03:08 Гілками

проверила др веб, нашла два экзешника, посмотрим как будет дальше. Спасибо.

Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
читатель
Сообщения: 1
С нами с 21.11.2008

УБИТЬ: qwertyy.cn (u.cruze3.cn и sccfg.sys) [Re: Lika_n]
      21 ноября 2008 в 16:17 Гілками

В данном случае антивирусы не найдут конкретный файл - не пытайся.
Возможно у тебя установлена (или раньше была) программа Folder Lock (защита паролем личных папок). Червь в драйвере данной программы windrvNT.sys. (подтверждение тому если антивирус указывает на скрытый файл Hidden.Object C:\sccfg.sys, которого реально нет на компьютере).
Найди файл windrvNT.sys на компьютере и удали его (корзину потом очисти). Само собой деинсталируй Folder Lock и никогда его больше не устанавливай.
В Windows на панели управления нажми "Пуск", далее "выполнить". В открывшемся окне набери regedit (это редактор реестра). В открывшемся окне (в меню) выбери Правка - найти. В появившемся окне набери qwertyy (это сайт, на который тебя перенаправляет браузер), далее начать поиск. Скорее всего найдется целая папка в реестре с таким названием. Удали ее целиком.
Должно помочь. Удачи...




Змінено menposd (21:24 21/11/2008)


Роздрукувати   Нагадати!   Сповістити модератора   Відправити по E-mail
Autoua.netФорумІнформатика та побутова електроніка
Додаткова інформація
1 користувачів і 19 що побажали залишитися невідомими читають цей форум.

Модератор:  AlMat, Yorc, moderator 

Роздрукувати всю тему

Права
      Ви не можете створювати нові теми
      Ви не можете відповідати на повідомлення
      HTML дозволений
      UBBCode дозволений

Рейтинг:
Переглядів теми: 1304

Оціните цю тему

Перейти в

Правила конференції | Календар | FAQ | Карта розділу | Мобільна версія