[SD]

[quote name='АРЕФ'] Функция NtCreateKey (29) перехвачена (80572EAD->FC6C80E0) , перехватчик spkz.sys “[/quote]Судя по Гуглу, упомянутый драйвер может быть от алкоголя или демонтулс (хотя, мне кажется, он должен называться sptd.sys). Иначе это руткит. Если позволяет инет, можно попробовать проверить антивирусом с LiveCD. Есть так же [link url='http://virusinfo.info/pravila.html'] спецфорумы[/link], где помогут использовать AVZ (хотя не факт, что успешно). Скорее всего какая-то гадость присутствует и подменяет поисковый траф, причём криво (“украинский прокси” и “форум касперского” к сожалению не в тему).

[АРЕФ]

[quote name='komart'] Хотя проблема вовсе не в яндексе. Многие тут уже написали, что ни у кого подобного не наблюдается. Сам для поиска в рунете пользуюсь яндексом, никакие украинские ссылки он мне не выдает. Проблема в том, что в вашей сетке криво настроен интернет либо используется прокси, у которого украинский ip. [/quote]Вчера зашел на Яндекс. Да, действительно, там уже что-то поменяли и теперь предлагается выбор( по новостям) – Россия, Украина и Казахстан. Но дело не совсем в стране. Вот вы говорите что пользуетесь Яндексом и у вас все нормально. Но у меня вчера та же история что и ранее. У меня в браузере IE включена функция ограничения доступа, т.е. любой подключающийся веб-узел просит разрешения и при этом так называемым советником по безопасности браузера дается предварительная оценка безопасности этого узла. Когда я разрешил подключение Яндексу сразу за ним( Яндекс практически еще ничего не успел загрузить) просит разрешение suggest.yandex.ru/tsuggest …. , его я естественно отклонил. Далее я решил посмотреть, что в новостном веб-узле. Опять же даю ему разрешение и тут пытается сразу пролезть такой – kicks.yandex.ru/su/. Его я отклоняю, но решил посмотреть что это за узел. Набрал в строке этот адрес, вычеркнув только расширение /su/. В итоге появляется окно где сообщается об ошибке 404, что это несуществующий домен. От имени Яндекса говорится что “скорее всего вы что-то неправильно набрали в адресе, что мы вас сюда не отсылали”. И еще добавляется что “если вы сюда попали сообщите по ссылке”( в смысле перейти на какой-то веб-узел). Пока я читал это окно трафик не прекращался, более того его скорости стоит позавидовать скорости допустим обновлений Касперыча. Мне пришлось диспетчером задач отрубить все инетовские процессы. Разве можно назвать такие вещи нормальными для такого сайта как Яндекс!?[smile :-/] Просто у многих указанная мной функция не включена, а эти веб-узлы ведут передачу данных в фоновом режиме. Вот по-видимому так и пролазиет какая-нибудь зараза в наши компы.

[pavelz]

[quote name='АРЕФ'] А на антивирус ключ активации у меня еще действителен до апреля( покупал Касперского в коробочке в прошлом году) [/quote] короче открываете почтовик и пишите письмо с претензией к касперскому, думаю получите обстоятельный совет , что и куда нажать чтобы вас сообщения не смущали.

[SD]

Уверен, саппорт ЛК не будет работать над этим вопросом, поскольку он не касается их продукта. В лучшем случае помогут на их форуме.[quote name='АРЕФ'] Функция NtCreateKey (29) перехвачена (80572EAD->FC6C80E0) , перехватчик spkz.sys [/quote]Судя по Гуглу, упомянутый драйвер может быть от алкоголя или демонтулс (хотя, мне кажется, он должен называться sptd.sys). Иначе это руткит. Если позволяет инет, можно попробовать проверить антивирусом с LiveCD. Есть так же ресурсы, где помогут интерпретировать логи AVZ (хотя не факт, что успешно, но к сожалению, я в нем тоже не особый специалист). Скорее всего какая-то гадость присутствует и подменяет поисковый траф, причём криво (“украинский прокси” и ссылка на “форум касперского” к сожалению не в тему).

[АРЕФ]

[quote name='SD'] Судя по Гуглу, упомянутый драйвер может быть от алкоголя или демонтулс (хотя, мне кажется, он должен называться sptd.sys). [/quote]В других(повторных) сканированиях он был под таким именем и еще – spjc.sys. А что такое – демонтулс ?

[SD]

Deamontools – распространённый эмулятор компакт-дисков. Он, как и Alcohol 120% использует драйвер [link url='http://www.duplexsecure.com/en/faq'] sptd [/link]. Кстати, в FAQ по линку сказано, что драйвер по умолчанию не удаляется при деинсталляции упомянутых эмулятров. Я сам этим никогда не пользуюсь, поэтому про альтернативные имена драйверов не знаю. В FAQ не нашел про это. При работающем драйвере в процессе загрузки должна появляться надпись “Press ESC to cancel loading SPTD.sys”, но при обычной загрузке ее скорее всего не видно, только в safe mode, или при опции /NOGUIBOOT. По идее, если удалить этот драйвер, перехваты (по-другому – хуки) должны исчезнуть.

[pavelz]

[quote name='SD'] Deamontools – распространённый эмулятор компакт-дисков. [/quote] вообще-то алкоголь и даймонд тулс и прочии програмки такого рода это инструмент который в удобоваримой для пользователя форме помогает создавать и работать с виртуальныи дисками, а вся эта виртулазиция уже встроена в винду изначально, сами програмки ничего практически кроме интерфейса и постоянно вызываемых процедур для создания этих дисков не выполняют. Любой виртуальный диск в винде вы можете создать сами с консоли в один присест, полистайте ток манул к винде. [quote name='SD'] если удалить этот драйвер, перехваты (по-другому – хуки) должны исчезнуть. [/quote]Поэтому советовать что-то стирать в винде не надо , мне так кажется 🙂 .

[pavelz]

вчера на меня напал вирус 🙂 , было довольно забавно после посещения и скачивания флэш игрушки с какого то сайта, я его даже не запомнил на экран вылезло огромное окно ,г де меня попросили отослать смс дабы чего то активировать и закрыть это окно. Но т.к я человек экономный, я решил поспорить с этой рекламой и сам себе поставил время 20 мин на борьбу 🙂 . Первым делом на что я обратил внимание, это то что вирусяка довольно грамотно запустился, антивирус в этот момент мирно шуршал и не подавал признаков тревоги, но … был полностью выведен из строя брендмауэр. Т.к. на экране ничего не было видно из-за этого окна я перегрузился в режиме безопасности, далее зашёл отрубил автозапуск, зашёл в system 32 через поиск отобразил все файлы которые появились в папке за последние часы моего пребывания в инете удалил пару dll-ек, потом зашёл в сервисы и отключил сервисы без роду, без племени запущенные (особливо моё внимание привлёк сервис с именем userinit.exe, отрубил его ). Перегрузился реклама пропала, выкл комп пошёл спать, время борьбы составило 18 мин. А ща вот сижу и думаю, а ведь этот вирус должен был следы оставить в реестре и кажись я не все почистил, в общем если кто сталкивался с подобной заразой подскажите какие ветки реестра он затрагивает и чего там прописывает ?

[VaIerik]

[quote name='pavelz'] Т.к. на экране ничего не было видно из-за этого окна я перегрузился в режиме безопасности [/quote]Повезло, что вирус дал запустится в безопасном режиме. У меня на работе было, что никак нельзя было запустится, удалял через сеть.userinit.exe это системная служба, но через нее могут работать вирусы. Проверить в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в параметре userinit надо, чтобы было вот так “C:\Windows\system32\userinit.exe,” (без кавычек). Ну и там же можно проверить раздел svchost, параметр netsvcs если в списке есть подозрительные dll-ки, то найти и обезвредить.Еще этот вирус, который с активацией обычно прячется в файле Ctfmon.exe, который лежит в c:\windows, а настоящий Ctfmon.exe должен лежать в c:\windows\system32.

[VaIerik]

Забыл написать, еще в HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon проверить параметр Shell в значении должно быть explorer.exe вирусы обычно любят через пробел дописывают туда свои dll-ки и экзешники. Ну и само собой проверить авторан в реестре.

[pavelz]

[quote name='komart'] Проверить в реестре HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon, в параметре userinit надо, чтобы было вот так “C:\Windows\system32\userinit.exe,” (без кавычек). [/quote] да и ещё добавлю такое, должна отсутствовать запись [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced] “PersistBrowsers”=dword:00000000 . А по поводу этого userinit.exe меня смутило только одно, это то что он был там где не должен был находится, поэтому я его сервис грохнул. И самое обидное, что ни этот доктор вебер ни симантик никак не отреагировали на заразу, да оно впринципе и понятно почему так произошло. Ладно спасибо за советы, от вирусописатели хороших людей обижают 🙂 .

[АРЕФ]

[quote name='pavelz'] или вот[link url='http://forum.kaspersky.com/lofiversion/index.php/t32654.html'] с форума касперского [/link]. ……….. , а можете поковырять систему может кого то и изловите, ….. и нам расскажите кого изловили. [/quote]Благодарю за данную ссылку. Собственно указанной в ней утилитой я и пользовался. Данная ссылка просто развеяла мои некоторые сомнения в моих выводах. Изловил это “чудовище”. Аж самому смешно. Называется оно Windows XP. 🙂 Конкретно – деятельность ее службы – центр обеспечения безопасности. Вот уж действительно М.Задорнов недаром называет в своих монологах американцев – “ну, тупые!” Мне вот лично действительно непонятно для чего система контролирует и дублирует деятельность служб антивируса. По диспетчеру задач – два процесса с одним именем, только один запущен пользователем, а второй – системой( причем даром “жрет” оперативку, больше пользовательского процесса, тормозя сам антивирус). Потом этот “ненавязчивый” сервис – авт.обновление. Ну чем не похоже на то, вы описываете сейчас – требование отослать SMS. В сообщении центра безопасности системы – если вы не включите авт.обновление то рискуете ….. Ага прямо вири на пороге компа собрались и ждут. 🙂 Вообще интересно есть у кого-нибудь примеры того, что это обновление безопасности помогло избавиться от какого-нибудь вируса? Имхо в Microsoft сами таким путем собирают то, что например “накопытят” в Лаб.Касперского. Нафига мучиться самим выискивать(трудиться) методы борьбы с вирусами. Они даже со своего сайта отказали скачать своего бесплатного антивируса( ответ – извините ваш регион не обслуживаем).Собственно все эти нынешние вирусы,шпионские программы – все это заложено в самой Windows( я имею ввиду технология), просто вопрос в чьих руках это оказывется и в каких целях.

[pavelz]

[quote name='АРЕФ'] Благодарю за данную ссылку. Собственно указанной в ней утилитой я и пользовался. Называется оно Windows XP. [/quote] да собственно не за что, ежели вообще говорить о винде, то это очень мощный и сложный продукт в котором реализованы так или иначе практически все функции, которые вы используете . Поэтому и вирусы которые пишут используют механизм и структуру винды, ежели хоть немного знать как работает винда, то и вирусы никакие нестрашны 🙂 .

[GT_Boy]

Мне попался более интересный – Download master. Тоже требовал смску. Только написан еще более грамотно: запускается и в безопасном режиме, блокирует редактор реестра, диспетчер задач, командную строку. Антивирусы его не увидели. Пришлось повозится чтоб снести.

[VaIerik]

пару недель назад. я в инете попалась на рекламе фильма Аватар якобы скачайте в хорошем качестве. зашла по ссылке,там для скачивания нужно было установить какуюто прогу название непомню. стала скачивать антивирус непропустил стоял нод32. а через час появилось окно на весь рабочий стол якобы я воспользовалась пробной програмой для просмотра порно фильмов и поскольку прошол 1 час с момента ее установки мне нужно отправить смс. я нечего неотпровляла. а просто выключила комп. наследущий день муж включил на раб. столе стали появлятся окна с предупреждением об смс. он их просто закрывал. и системник стал так трещать ужас. затем комп перезагрузился, и окна появились вновь проделали все тоже самое. системник был в шоке. муж комп отключил. минут через 15 включил окна больше непоявлялись. что это было???

[Автор]

Сообщения