Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] 007guard.com - что это??? (http://forum.oszone.net/showthread.php?t=105988)

amzir 29-04-2008 23:26 791753
007guard.com - что это???
 
Outpost Firewall 2008 постоянно фиксирует сетевую активность www.007guard.com при включении Mozilla Firefox.
Что это за зверь такой - www.007guard.com? Для чего нужен? (и нужен ли вообще?)
По инету информации об этом чуде что-то не нашел.

Pili 30-04-2008 08:20 791887
amzir,
Цитата:
007Guard is a potentially unwanted program that pretends as a computer security application. It may redirect website ans hijack Internet Explorer homepage.

Aliases:
Adware.007Guard
очистите файл C:\WINDOWS\system32\drivers\etc\hosts
в нем д.б. только
127.0.0.1 localhost, можете добавить туда запись
127.0.0.1 www.007guard.com
Скачайте Spybot -S&D, установите и проверьте им систему
Выложите логи по правилам, для контроля

amzir 30-04-2008 11:39 791988
Вложений: 1
Vadikan, Pili, вот логи.

amzir 30-04-2008 12:14 792017
Еще такая вещь. Я очищаю host файл, перезагружаюсь и Outpost пишет вместо 007guard - AmzirПК(ну тоесть мое сетевое имя). Затем с помощью Spybot запускаю иммунизацию и вуаля, в host файле опять - 127.0.0.1 007guard и еще 8000 всяких ссылок и после перезагрузки опять сетевое обращение к 007guard вместо AmzirПК.
Может этот www.007guard.com что-то наподобие прокси сервера?

Pili 30-04-2008 13:32 792060
amzir,
Цитата:
Цитата amzir
Outpost пишет вместо 007guard - AmzirПК »
всё правильно, это 1-ая мера защиты, теперь вместо внешнего адреса обращение идет к вашему компьютеру, т.е. соединений с 007guard.com не будет и ничего с www.007guard.com не будет скачиваться и устанавливаться.
Вы с помощью Spybot сканирование системы делали?
Цитата:
Ошибка LSP NameSpace: "mdnsNSP" --> отсутствует файл C:\Program Files\Bonjour\mdnsNSP.dll
Скачайте LSP-FIX и удалите mdnsNSP.dll
Почистите временные файлы с помощью ATF Cleaner
В меню AVZ - файл - выполнить скрипт – выделить и скопировать текст ниже (методом Ctrl+C/Ctrl+V или с помощью правой кн. мыши копировать/вставить) в окно выполнения скрипта AVZ и нажать кнопку «Запустить»
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\system32\DRIVERS\ipinip.sys','');
 QuarantineFile('C:\Windows\system32\timerstop.sys','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится. После перезагрузки выполнить ещё скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Файл quarantine.zip выслать на user15802[at]mail.ru, в теле письма указать ссылку на тему, или выложить файл на ifolder.ru или другой файлообменник и дать ссылку на него в ПМ (личку).
Скачайте Malwarebytes' Anti-Malware, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan",
после сканирования - Ok - Show Results - нажмите "Remove Selected"
Откройте лог и скопируйте в сообщение.
тут есть картинки по использованию Malwarebytes' Anti-Malware.

amzir 30-04-2008 15:05 792134
Pili, сделал все вышеперечисленное, вот лог Malwarebytes' Anti-Malware.

Malwarebytes' Anti-Malware 1.11
Database version: 700

Scan type: Full Scan (C:\|)
Objects scanned: 120222
Time elapsed: 30 minute(s), 30 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Pili 30-04-2008 15:09 792138
Файла ipinip.sys в системе нет физически, рез-ты по timerstop.sys
Цитата:
hnLab-V3 2008.4.30.0 2008.04.30 -
AntiVir 7.8.0.11 2008.04.30 TR/ActivCrk.B
Authentium 4.93.8 2008.04.27 -
Avast 4.8.1169.0 2008.04.30 Win32:Rootkit-gen
AVG 7.5.0.516 2008.04.30 -
BitDefender 7.2 2008.04.30 Trojan.Activcrk.B
CAT-QuickHeal 9.50 2008.04.29 -
ClamAV 0.92.1 2008.04.30 -
DrWeb 4.44.0.09170 2008.04.30 -
eSafe 7.0.15.0 2008.04.28 Win32.Trojan
eTrust-Vet 31.3.5747 2008.04.30 -
Ewido 4.0 2008.04.30 Trojan.ActivCrk.b
F-Prot 4.4.2.54 2008.04.30 -
F-Secure 6.70.13260.0 2008.04.30 -
FileAdvisor 1 2008.04.30 -
Fortinet 3.14.0.0 2008.04.30 ActivCrk.A!tr
Ikarus T3.1.1.26.0 2008.04.30 Trojan.Activcrk.B
Kaspersky 7.0.0.125 2008.04.30 -
McAfee 5284 2008.04.29 Generic.fh
Microsoft 1.3408 2008.04.22 -
NOD32v2 3065 2008.04.30 -
Norman 5.80.02 2008.04.29 -
Panda 9.0.0.4 2008.04.30 -
Prevx1 V2 2008.04.30 TROJAN.HORST.FH
Rising 20.42.20.00 2008.04.30 -
Sophos 4.28.0 2008.04.30 Troj/ActivCrk-A
Sunbelt 3.0.1056.0 2008.04.17 -
Symantec 10 2008.04.30 -
TheHacker 6.2.92.297 2008.04.29 -
VBA32 3.12.6.5 2008.04.29 -
VirusBuster 4.3.26:9 2008.04.29 -
Webwasher-Gateway 6.6.2 2008.04.30 Trojan.ActivCrk.B
Выполните скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 SetServiceStart('TimerStop', 4);
 SetServiceStart('IpInIp', 4);
 DeleteService('TimerStop');
 DeleteService('IpInIp');
 DeleteFile('C:\Windows\system32\DRIVERS\ipinip.sys');
 DeleteFile('C:\Windows\system32\timerstop.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
повторите логи virusinfo_syscheck.zip, hijackthis.zip
Скачайте и запустите GetSystemInfo (GSI), укажите с помощью обзора папку для сохранения протокола в текстовом формате, заархивируйте полученный файл и прикрепите к сообщению.

amzir 30-04-2008 15:32 792156
Вложений: 2
Pili,

Pili 30-04-2008 15:45 792165
amzir, антивирусы, spybot (tea timer), outpost отключите на время, повторите скрипт из поста 8 и заново сделайте лог virusinfo_syscheck.zip, после вып-ия скрипта timerstop.sys должен удалиться.
хмм...странно, по логам GSI некоторых файлов не увидел...
Сделайте логи с помощью утилиты Deckard's System Scanner. Скачайте, закройте все программы, включая антивирусные программы и firewall, запустите dss.exe, нажмите ОК, когда закончится процесс сканирования, в блокноте откроются два лог файла main.txt и extra.txt, выделите (Ctrl+A) и скопируйте текст (Ctrl+C) из main.txt и extra.txt и вставьте (Ctrl+V) скопированный текст из main.txt и extra.txt в окно вашего сообщения.

amzir 30-04-2008 15:59 792180
Сделал,

Pili 30-04-2008 16:21 792191
amzir, ну вот, требуемое удалилось, по логам AVZ придраться вроде как не к чему. Проблема ещё появляется? Если да, сделайте логи DSS и проверьте ещё на всякий случай на virustotal.com файлы
C:\Windows\system32\DRIVERS\nwlnkflt.sys
C:\Windows\system32\DRIVERS\nwlnkfwd.sys
д.б. легальные, но возможно в системе они не найдутся...
С помощью AVPTool и cureit проверялись?

amzir 30-04-2008 16:23 792192
Pili, благодарю за помощь, вроде все нормально.
Ух, ну и марафончик, еще раз спасибо.


Время: 22:41.

Время: 22:41.
© OSzone.net 2001-