Здравствуйте. У меня троян в системе:(.Я установил какой-то файл для просмотра видео и началось....Спасибо за "Проверку своего компьютера":).Я проследовал по всем шагам и вот,что у меня вышло...Очень прошу помочь..Заранее благодарен...СПАСИБО!!!!
Printable View
Здравствуйте. У меня троян в системе:(.Я установил какой-то файл для просмотра видео и началось....Спасибо за "Проверку своего компьютера":).Я проследовал по всем шагам и вот,что у меня вышло...Очень прошу помочь..Заранее благодарен...СПАСИБО!!!!
Вы как логи делали ? У вас виста(для справки 64 или 32 ? ), нужно обязательно правой кнопкой жать , выбирать админа, вставлять пароль... Вы так делали ?
Зайти в установка/удаление программ и удалить : My Web Search
Пришлите карантин по ссылке, там собралось.
Аааа,понятно...я только hijackthis.log делал через администратора....а 2 первых -нет...нужно ит сделать тоже через администратора???
[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]
Заходить и удалять My Web Search тогда???
[quote=Manhet;198585]Аааа,понятно...я только hijackthis.log делал через администратора....а 2 первых -нет...нужно ит сделать тоже через администратора???[/quote]Да, переделать. Отключите перед исполнением всё что можете перед этим, слишком много программ работают у вас.
у меня 32
[quote=Manhet;198585]
Заходить и удалять My Web Search тогда???[/quote]
конечно удалять его, а затем делать логи.
Переделываю....
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
My Web Search не удаляеться...вот что пишет: Ошибка при загрузке С:\Progra 1\MyWebs 1\bar\1.bin\mwsbar.dill. Не найден указанный модуль...
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
извините,а карантин присылать по той же ссылке???
карантин присылать по ссылке [url]http://virusinfo.info/upload_virus.php?tid=19307[/url]
Спасибо...карантин прислал...только не получаеться удалить My Web Search ...что посоветуете???
Повторите логи.
Здравствуйте. У меня троян в системе:(.Я установил какой-то файл для просмотра видео и началось....Спасибо за "Проверку своего компьютера":).Я проследовал по всем шагам и вот,что у меня вышло...Очень прошу помочь..Заранее благодарен...СПАСИБО!!!!
[quote=drongo;198591]конечно удалять его, а затем делать логи.[/quote]
Здравствуйте....я отправил карантин.... сделал внова все логи с администратором....что посоветуете???Спасибо
1. Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\4A66~1\FlashGet\FlashGet\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] C:\Program Files\DrWeb\DRWEBSCD.EXE
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk789MXES
[/code]
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
BC_ImportDeletedList;
BC_DeleteSvc('MyWebSearchService');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Одного из антивирусов (Аваст или Др.Веб) надо удалить. Оставить того, кто действительно защищает.
Папку [b]C:\Program Files\MyWebSearch[/b] удалите полностью.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Выполните поиск файла [b]201007.msi[/b] на диске С: и все найденные экземпляры удалите.
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Перезагрузите компьютер, потом скопируйте код из рамочки в .bat файл и выполните его:
[code]
RD /S /Q "C:\Documents and Settings\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Documents and Settings\Toshiba\Local Settings\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\Local Settings\Application Data\Application Data"[/code]
После этого сделайте новые логи.
[quote=Bratez;198875]1. Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\4A66~1\FlashGet\FlashGet\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] C:\Program Files\DrWeb\DRWEBSCD.EXE
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk789MXES
[/code]
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
BC_ImportDeletedList;
BC_DeleteSvc('MyWebSearchService');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.[/quote]
Спасибо за помошь....так...все упомянутое в цитате сделал...камп ерезагрузился..
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=Bratez;198878]Папку [B]C:\Program Files\MyWebSearch[/B] удалите полностью.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Выполните поиск файла [B]201007.msi[/B] на диске С: и все найденные экземпляры удалите.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 12 минут[/I][/B][/COLOR][/SIZE]
Перезагрузите компьютер, потом скопируйте код из рамочки в .bat файл и выполните его:
[code]
RD /S /Q "C:\Documents and Settings\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Documents and Settings\Toshiba\Local Settings\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\Local Settings\Application Data\Application Data"[/code]
После этого сделайте новые логи.[/quote]
Файла [B]201007.msi[/B] нашел...ни на диске С ни на D...
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
[quote=Bratez;198878]Папку [B]C:\Program Files\MyWebSearch[/B] удалите полностью.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Выполните поиск файла [B]201007.msi[/B] на диске С: и все найденные экземпляры удалите.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 12 минут[/I][/B][/COLOR][/SIZE]
Перезагрузите компьютер, потом скопируйте код из рамочки в .bat файл и выполните его:
[code]
RD /S /Q "C:\Documents and Settings\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Documents and Settings\Toshiba\Local Settings\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\Local Settings\Application Data\Application Data"[/code]
После этого сделайте новые логи.[/quote]
Простите....а .bat файл где искать???извините за незнание..
:D Ловите готовый, так будет проще
(сохраните, измените расширение на [b]bat[/b] и запустите):
[quote=Bratez;198901]:D Ловите готовый, так будет проще
(сохраните, измените расширение на [B]bat[/B] и запустите):[/quote]
Ага...сделал...запустил...но у меня ничего не появилось...что-то маргнуло и все...наверое так должно быть??..сейчас сделаю новые логи..и прислать всм сюда же??
Все нормально, давайте новые логи, только не забудьте - от имени Администратора.
[quote=Bratez;198917]Все нормально, давайте новые логи, только не забудьте - от имени Администратора.[/quote]
Хорошо,спасибо....уже делаю!!!