Liolyk
19.03.2007, 14:31
Вопщем, моё чУдо, живущее со мной и юзающее мой комп, открыло какую - то мега сцылку.... ивопщем долго описывать... искал в инете, набрел на адекватное описание проблемы её и цытирую:
Дело обстоит следующим образом:
В процессе общения посредством ICQ (какой icq-клиент - не важно, пробовал разные) собеседнику присылается сообщение, содержащее ссылку и смайлик:
хттп://ввв.lovepostcards.net/288100 ;))))))))))))))))
Ещё стоит заметить, что ссылка эта отсылается только в самом первом (!) сообщении, отправленным мною. Далее же в процессе диалога ничего необычного, вроде бы, нет.
Подобное замечено при отсылке письма. Пользуюсь программой The Bat. Отсылаю письмо, в "Отправленных" сохраняется копия, ссылки в ней нет. Получателю же приходит письмо, и в конце добавлена та самая ссылка с тем самым смайликом.
Такой же эффект при отсылке письма через Webmail, то бишь с сайта почтового сервиса.
Я так подозреваю, что это некий "прокси-троян". Но никак не могу его вычислить. "Лечение" переустановкой винды не предлагать - задействую его только в крайнем случае.
На той самой страничке (через которую я и выхватил эту гадость, как я понимаю) находится "письмо счастье" и ActiveX компонент Windows Media Player.
Внимательно изучив все процессы, видимые в диспетчере задач, наткнулся на некий "wdfmgr.exe", который показался мне подозрительным.
Обратившись к поисковику, нашёл следующее:
wdfmgr.exe (Windows User Mode Driver Manager ) – процесс, являющийся частью Microsoft Windows Media Player 10 и более поздних версий. Процесс увеличивает стабильность системных драйверов Microsoft Windows.
В настоящее время зарегистрирован 1 сетевой червь W32/Agobot-TB, использующий имя wdfmgr.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов.
и вспомнил, что на страничке с "письмом счастья" был компонент Windows Media player. Может здесь "собака зарыта"?
Вот html-код Windows Media player'a со странички:
<fieldset style="width: 200px;">
<legend>
view.php_files/clef.gif
</legend>
<object id="NSPlay" classid="CLSID:22D6F312-B0F6-11D0-94AB-0080C74C7E95" codebase="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=5,1,52,701" standby="Loading Microsoft Windows Media Player components..." type="application/x-oleobject" height="26" width="150">
<param name="FileName" value="http://www.skypomania.ru/uploads/work/672.mp3">
<param name="ShowControls" value="1">
<param name="ShowPositionControls" value="0">
<param name="ShowAudioControls" value="1">
<param name="ShowTracker" value="0">
<param name="ShowDisplay" value="0">
<param name="ShowStatusBar" value="0">
<param name="ShowGoToBar" value="0">
<param name="ShowCaptioning" value="0">
<param name="AutoStart" value="0">
<param name="AutoSize" value="0">
<param name="PlayCount" value="1000">
<embed type="application/x-mplayer2" pluginspage="http://www.microsoft.com/windows/mediaplayer/en/default.asp" filename="http://www.skypomania.ru/uploads/work/672.mp3" src="view.php_files/672.mp3" name="NSPlay" showcontrols="1" showpositioncontrols="0" showaudiocontrols="1" showtracker="0" showdisplay="0" showstatusbar="0" showgotobar="0" showcaptioning="0" autostart="1" autosize="0" playcount="1000" height="26" width="150">
</object>
</fieldset>
похоже, ничего подозрительного нет (хотя я могу ошибаться). Но тогда что?
Удаление процесса "wdfmgr.exe" не помогло. Также удалил его из автозапуска служб в "Администрировании компьютера". - Не помогло.
Пробовал также применять AVZ (версию и базы перед проверкой обновил) и AVP (также, базы обновлены) - ничего подозрительного.
В общем, прямо полтергейст какой-то. ПОМОГИТЕ!
.
полтергейст еще и в том, что с моей аськи всего 1 раз отправилось а вот с её, шлется каждый день, ЗАТО, эта ссылка еще и в сообщения на форуме вставляется! тоесть пишу я месагы, пр. просмотр все ок, жму отправить - опп а ссылка вставилась... вопщем из дома форум только чита..... а с работы вот решил поспрошать может кто чего подскажет!
ЗЫ: Прошу модераторов считать флудом все сообщения типа: предложений что - то выпить или завершить мою жизнь с помощью стенки и других статичных предметов! ЫОТ!
Дело обстоит следующим образом:
В процессе общения посредством ICQ (какой icq-клиент - не важно, пробовал разные) собеседнику присылается сообщение, содержащее ссылку и смайлик:
хттп://ввв.lovepostcards.net/288100 ;))))))))))))))))
Ещё стоит заметить, что ссылка эта отсылается только в самом первом (!) сообщении, отправленным мною. Далее же в процессе диалога ничего необычного, вроде бы, нет.
Подобное замечено при отсылке письма. Пользуюсь программой The Bat. Отсылаю письмо, в "Отправленных" сохраняется копия, ссылки в ней нет. Получателю же приходит письмо, и в конце добавлена та самая ссылка с тем самым смайликом.
Такой же эффект при отсылке письма через Webmail, то бишь с сайта почтового сервиса.
Я так подозреваю, что это некий "прокси-троян". Но никак не могу его вычислить. "Лечение" переустановкой винды не предлагать - задействую его только в крайнем случае.
На той самой страничке (через которую я и выхватил эту гадость, как я понимаю) находится "письмо счастье" и ActiveX компонент Windows Media Player.
Внимательно изучив все процессы, видимые в диспетчере задач, наткнулся на некий "wdfmgr.exe", который показался мне подозрительным.
Обратившись к поисковику, нашёл следующее:
wdfmgr.exe (Windows User Mode Driver Manager ) – процесс, являющийся частью Microsoft Windows Media Player 10 и более поздних версий. Процесс увеличивает стабильность системных драйверов Microsoft Windows.
В настоящее время зарегистрирован 1 сетевой червь W32/Agobot-TB, использующий имя wdfmgr.exe для сокрытия своего присутствия в системе. В этом случае, необходимо завершить работу подозрительного процесса и проверить систему на наличие вирусов.
и вспомнил, что на страничке с "письмом счастья" был компонент Windows Media player. Может здесь "собака зарыта"?
Вот html-код Windows Media player'a со странички:
<fieldset style="width: 200px;">
<legend>
view.php_files/clef.gif
</legend>
<object id="NSPlay" classid="CLSID:22D6F312-B0F6-11D0-94AB-0080C74C7E95" codebase="http://activex.microsoft.com/activex/controls/mplayer/en/nsmp2inf.cab#Version=5,1,52,701" standby="Loading Microsoft Windows Media Player components..." type="application/x-oleobject" height="26" width="150">
<param name="FileName" value="http://www.skypomania.ru/uploads/work/672.mp3">
<param name="ShowControls" value="1">
<param name="ShowPositionControls" value="0">
<param name="ShowAudioControls" value="1">
<param name="ShowTracker" value="0">
<param name="ShowDisplay" value="0">
<param name="ShowStatusBar" value="0">
<param name="ShowGoToBar" value="0">
<param name="ShowCaptioning" value="0">
<param name="AutoStart" value="0">
<param name="AutoSize" value="0">
<param name="PlayCount" value="1000">
<embed type="application/x-mplayer2" pluginspage="http://www.microsoft.com/windows/mediaplayer/en/default.asp" filename="http://www.skypomania.ru/uploads/work/672.mp3" src="view.php_files/672.mp3" name="NSPlay" showcontrols="1" showpositioncontrols="0" showaudiocontrols="1" showtracker="0" showdisplay="0" showstatusbar="0" showgotobar="0" showcaptioning="0" autostart="1" autosize="0" playcount="1000" height="26" width="150">
</object>
</fieldset>
похоже, ничего подозрительного нет (хотя я могу ошибаться). Но тогда что?
Удаление процесса "wdfmgr.exe" не помогло. Также удалил его из автозапуска служб в "Администрировании компьютера". - Не помогло.
Пробовал также применять AVZ (версию и базы перед проверкой обновил) и AVP (также, базы обновлены) - ничего подозрительного.
В общем, прямо полтергейст какой-то. ПОМОГИТЕ!
.
полтергейст еще и в том, что с моей аськи всего 1 раз отправилось а вот с её, шлется каждый день, ЗАТО, эта ссылка еще и в сообщения на форуме вставляется! тоесть пишу я месагы, пр. просмотр все ок, жму отправить - опп а ссылка вставилась... вопщем из дома форум только чита..... а с работы вот решил поспрошать может кто чего подскажет!
ЗЫ: Прошу модераторов считать флудом все сообщения типа: предложений что - то выпить или завершить мою жизнь с помощью стенки и других статичных предметов! ЫОТ!