Надоедливый ErrorSafe

Printable View

13.07.2007, 01:36
Zhezhe

Вложений: 3

Надоедливый ErrorSafe

Поглядел форум и заметил, что не одного меня достал это ErrorSafe, очень хочется от него избавиться наконец-то. Лечился всем чем только можно из того что тут советовали, кроме того, сам руками пытался вычистить реестр, ничего не помогает... подумываю о сносе и переустановке системы (крайний вариант) - если не смогут справиться местные профессионалы. Прилагаю все логи, которые требуются для рассмотрения проблемы и заранее благодарю!
13.07.2007, 02:02
Макcим

Удалите с ПК Yahoo.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\WINXP\system32\lsasss.exe','');
QuarantineFile('C:\WINXP\system32\kbdert.dll','');
QuarantineFile('C:\WINXP\kheecy.dll','');
DeleteFile('C:\WINXP\kheecy.dll');
DeleteFile('C:\WINXP\system32\kbdert.dll');
DeleteFile('C:\WINXP\system32\lsasss.exe');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://google.icq.com/search/search_frame.php
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
F2 - REG:system.ini: Shell=
O2 - BHO: (no name) - {53f8a00a-41ec-457d-8789-149f6054c88e} - C:\WINXP\system32\kbdert.dll
O2 - BHO: (no name) - {938A8A03-A938-4019-B764-03FF8D167D79} - (no file)
O4 - HKLM\..\Run: [Lexmark_X79-55] C:\WINXP\system32\lsasss.exe
O4 - HKLM\..\Run: [winehq.org] rundll32.exe "C:\WINXP\kheecy.dll",realset
O20 - AppInit_DLLs:
O20 - Winlogon Notify: kbdert - C:\WINXP\SYSTEM32\kbdert.dll[/CODE]Пришлите файлы карантина по [url=http://virusinfo.info/showthread.php?t=1235]правилам[/url] раздела "Помогите". Повторите логи.
13.07.2007, 11:13
Zhezhe

Вложений: 2

Yahoo живуч!

Спасибо за быстрый ответ!
В общем Yahoo удалить стандартными средствами Windows не вышло... при деинсталляции он все равно остается в списке доступных программ... есть другие варианты вычищения этого зверя?
Провел рекомендуемые операции, логи и карантин прилагаю.
13.07.2007, 11:23
PavelA

Профиксить в HijackThis:

[CODE]R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll
[/CODE]
После этого можно удалить:
[CODE]C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll[/CODE]
13.07.2007, 11:57
Макcим

На будущие учтите, тулбары абсолютно бесполезная и даже вредная вещь.
После выполнения рекомендаций [B]PavelA[/B], сделайте повторно логи.
В карантин попал только kbdert.dll - [B]Trojan-Downloader.Win32.ConHook.bf[/B]. Мы его благополучно удалили.
13.07.2007, 17:19
Zhezhe

По указанному пути этот файл не найден, зато есть вот такие файлы: pubmod.dll, YMERemote.dll, ypubc.dll, YTMsgr.dll, ytinst.log - они все относятся к Yahoo, после HijackThis можно их беспрепятственно уже шлепнуть? :)
13.07.2007, 17:26
Muzzle

да,удалите Yahoo полностью,про логи не забудьте.
13.07.2007, 19:42
Zhezhe

Вложений: 2

Спасибо ребят, огромное!

Удалил, логи прилагаю!
13.07.2007, 20:04
Макcим

Логи чистые.

Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Вы можете нас отблагодарить, [URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов[/URL]. Мы будем Вам очень благодарны!

Удачи!
13.07.2007, 22:13
Zhezhe

Я сделал то, что вы просили!!!
Спасибо еще раз огромное за оперативность и рекомендации в ловле блох! Никакая платная поддержка компьютерных фирм и даже помощь специалистов-инженеров по информационной безопасности не была бы столь быстрой и эффективной в чистке компа, как ваша помощь!
22.02.2009, 02:01
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winxp\\system32\\kbdert.dll - [B]Packed.Win32.Klone.k[/B] (DrWEB: Trojan.DownLoader.21784)[/LIST][/LIST]