Зверя засек Spybot S&D таким вот образом:
Win32.Agent.yr:HKEY_USERS\S-1-5-21-1085031214-484061587-725345543-1003\Software\Microsoft\Windows\ShellNoRoam\MUICac he\*\keygen.exe
Ловит его, удаляет, дня через 3-4 зверь снова жив. KAV 6.0 его не видит, что очень странно, т.к. вирус не новый и на Viruslist.com числятся аж 4 разновидности, зверь должен быть в базах. От Ad-Aware SE Pro и 3-х антируткитов тоже никакой реакции. Удаляла ключ в реестре, подозрительные файлы - все тоже самое.
Прошу помочь в отлове и уничтожении. Логи прилагаются (извините за каламбур).
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
begin
QuarantineFile('c:\progra~1\google\google~1\goec62~1.dll','');
QuarantineFile('wbsys.dll','');
ClearHostsFile;
end.
Файлы из карантина AVZ пришлите согласно приложению 3 правил.
Пофиксите в HijackThis:
Код:
O21 - SSODL: gimmicks - {40dcff6e-af8d-4183-8ebe-a82270ac449e} - (no file)
O21 - SSODL: emptins - {588599f4-de26-4c28-ba14-f4eb17e33481} - (no file)
Два вопроса:
1. Какие-либо ограничения пользователю в Internet Explorer сами прописывали? Если нет, то в AVZ: Файл-> Восстановление системы, отметить п.6, Выполнить отмеченные операции.
2. Серверы DNS в сетевых настройках 82.193.64.2 и 159.148.60.20 указывали сами? Если нет - то пофиксить:
1. При выполнении скрипта AVZ пишет: ошибка карантина файла "wbsys.dll", попытка прямого чтения.Первый файл в карантине. Он часть Google Desktop и, скорее всего, окажется чистым. Присылать или подождать?
2. Ограничения в IE сама прописывала.
3. Серверы DNS оказались серверами провайдера. Пришлось заново указывать, Интернет теперь глючит (это сообщение в 6-й раз пишу) и иконка соединения в трее так и не появилась.
4. Ключи gimmicks и emptins - это старая проблема. Не удаляются никоим образом. Пробовала разные программы, сама в реестр лазила, с отключенным восстановлением системы, в безопасном режиме - ничего не помогает. Подозреваю, что Spybot S&D их восстанавливает. Кто-нибудь знает где у него белый и черный списки, как их найти? Я уже вроде все обыскала, так и не нашла.
AVZ выдает ту же ошибку: ошибка карантина файла "wbsys.dll", попытка прямого чтения.
Нашла поиском Windows в C:\WINDOWS\system32. Оказались остатки от WindowBlinds. Присылать?
Ну если действительно от WindowBlinds, то не надо.
Прямо не знаю, все у вас такое легитимное...
Даже и придраться больше не к чему. Возможно, ваш зверек приходит снаружи.
Все оказалось гораздо проще.
Приношу извинения за собственную невнимательность и введение вас в заблуждение (все "добрые" слова я себе уже сказала).
Когда делала логи, не обратила внимания на то, что сканируется только диск С. Отметила С и Е, повторила операцию еще раз. Логи такие же, зато в карантин попали кейгены, 1 программа и Vista игры для XP. Игры, скорее всего, не при чем - AVZ просто их расширение .BAK не понравилось.
Мне теперь даже неудобно спрашивать что с этим добром делать
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: