Printable View
пока проблем не заметил. Но родной НОД32 выдал 2 вируса в RECYCLER в архиве cab, а ваш ДрВеб почти 30!!! Втом числе в папке Нод и с сайта для заставки (популяр.скринсеверс и майвебсерч) После лечения их заставки не работают. Надеюсь на Ваше понимание и помощь.
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [PopularScreensaversWallpaper] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\F3SCRCTR.DLL,LES
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.
если интересно то у вас
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=62066[/url]
думаю явно вам не нужная ;)
кстате, программку МАЙВЕБСЕРЧ нельзя теперь удали, пишит чето нехватает. Ваши указания выполню позже, работаю.
Выслал карантин. Новые логи делать также как для первого сообщения?
да, точно также.
вот логи А карантин я тот прислал?
карантин пришёл,логи гляну чуть чуть позже.
BitAccelerator.dll - программа-реклама [B]not-a-virus:AdWare.Win32.BHO.cc[/B]
1. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
2. Удалите полностью папки:
[B]C:\Program Files\MyWebSearch
C:\Program Files\BitAccelerator
C:\Program Files\ConnectionServices[/B]
3. Пофиксите в HijackThis:
[code]
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
[/code]
4. Для контроля сделайте новые логи, начиная с п.10 правил.
программки BitAccelerator, ConnectionServices и MyWebSearch остались в "установка и удаление программ"
Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm185YYRU
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab
[/CODE]
Для удаление записей в реестре выполните скрипт
[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitAccelerator');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConnectionServices');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
Больше ничего подозрительного нет.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Удачи!
[QUOTE]программки BitAccelerator, ConnectionServices и MyWebSearch остались в "установка и удаление программ"[/QUOTE]
Для устранения выполните скрипт:
[code]
begin
SetAVZGuardStatus(True);
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitAccelerator');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConnectionServices');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch');
RebootWindows(true);
end.[/code]
не могу выполнить последний скрипт. Ошибка : not enough actual parametrs в позиции 3:16 Ещё осталась папка C:\Program Files\FunWebProducts , она тоже помойму с СКРИНСЕВЕРС. Удалить?
[QUOTE='ozzik;130674']не могу выполнить последний скрипт.[/QUOTE]
Качайте новую версию AVZ [url]http://z-oleg.com/avz4.zip[/url]
[QUOTE='ozzik;130674']Ещё осталась папка C:\Program Files\FunWebProducts , она тоже помойму с СКРИНСЕВЕРС. Удалить?[/QUOTE]Да, папку удалите.
полуилось. Не знаю как в реестре,но в "установка и удаление программ" они остались! (программки BitAccelerator, ConnectionServices и MyWebSearch )
[size="1"][color="#666686"][B][I]Добавлено через 2 часа 48 минут[/I][/B][/color][/size]
BitAccelerator так же наблюдается в ПУСК => все программы
[QUOTE]в "установка и удаление программ" они остались![/QUOTE]
Скрипт не срабатывает, видимо ключи в Uninstall называются не по имени программы, а в виде {...[I]буковки-циферки[/I]...}. Значит, надо нажимать их по очереди в [B]regedit[/B]'е и смотреть на параметр [B]DisplayName[/B] в правой половине экрана - только так и можно понять, кто есть who. Но если с regedit не знакомы, лучше оставьте все как есть, это ни на что не влияет. Или попробуйте какую-нибудь программу - унинсталлер / очиститель реестра.
[QUOTE]BitAccelerator так же наблюдается в ПУСК => все программы[/QUOTE]
Ну это удалить проще пареной репы...
СПАСИБО! и ещё вопросик, возвращаясь к названию темы. Глубокий анализ НОДом показал вирус в зип файле. Нашёл и проверил этот зип персонально - НУЛЬ вирусов! Как это понимать? (это было неделю назад, файл удалил)
[QUOTE]Глубокий анализ НОДом показал вирус в зип файле. Нашёл и проверил этот зип персонально - НУЛЬ вирусов! Как это понимать?[/QUOTE]
Случаются иногда и ложные срабатывания, от этого ни один антивирус не застрахован.
Извините что опять возращаюсь к эой теме. Мы здесь помимо прочего удалили МайВебСерч. Вчера обновил на оф сайте Интернет Эксплорер7. Теперь в панели инструментов похожая фигня опять. Раньше считалось что это бяка, а теперь Майкрософт сам её устанавливает!?
[URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=62066"]прочитайте это[/URL]