Printable View
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32 - с самого начала подозрение только на эту библиотеку, связанную как раз с японским языком.
[url]http://www.spywareguide.com/product_show.php?id=469[/url] - описание CnsMin
Не знаю, что и думать.
Удалять, однозначно :)
Итак, насколько я понял, в hijackThis профиксить следующее? :
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
и
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
Поправте меня, если я чего-нить не понял.
И еще, по ссылке на [url]www.spywareguide.com[/url] описан способ избавления от этого вируса. Я попытался с переводчиком понять, что делать, но я не вполной мере владею терминалогией, может кто попробует разжевать по-русски в доступной форме?
Или за это мне лучше не браться, а обратиться к более квалифицированному пользователю?
в AVZ выполнить скрипт.
[CODE]begin
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll');
DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMinIO.dll');
DeleteFile('C:\WINDOWS\DOWNLO~1\CnsMinSV.dll');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe');
DeleteFile('C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL');
BC_ImportDeletedList;
// Чистка ссылок на удаленные файлы
ExecuteSysClean;
// Активация драйвера Boot Cleaner
BC_LogFile(GetAVZDirectory + 'boot_clr.log');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки в HijackThis, если останется, профиксить:
[CODE]
O4 - HKLM\..\Run: [CnsMin] Rundll32.exe C:\WINDOWS\DOWNLO~1\CnsMin.dll,Rundll32
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZR
O8 - Extra context menu item: Visit &japanese keywords - res://C:\WINDOWS\DOWNLO~1\CnsMin.dll/203
[/CODE]
После этих операций повторить логи. Придется для работы с японским искать что-то другое.
Спасибо, большое.
Поехали... :)
[QUOTE]После этих операций повторить логи.[/QUOTE]
выполнил. логи прилагаю.
AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.
После этого повторите логи AVZ.
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
[QUOTE]AVZ - Файл - Выполнить скрипт, скопировать код, вставить и выполнить. Система перезагрузится.
После этого повторите логи AVZ.[/QUOTE]
Спасибо,
Выполнил.
Логи чистые.
Вот это еще осталось пофиксить:
[code]R3 - URLSearchHook: MyUrlSrcHook Class - {D2A5245A-B682-4C26-A507-173A774B2E70} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O2 - BHO: IDN Helper Object - {118CE65F-5D86-4AEA-A9BD-94F92B89119F} - C:\WINDOWS\DOWNLO~1\CNSMIN~1.DLL (file missing)
O11 - Options group: [!CNS] Japanese keywords[/code]
[quote=Bratez;103139]Вот это еще осталось пофиксить:[/quote]
Пасибо, Сделано.
Как я понимаю, теперь остался последний шаг: формат диск С ? :D
Да, нет. Я думаю это окончание пути, в смысле окончание лечения.
[quote=PavelA;103269]Да, нет. Я думаю это окончание пути, в смысле окончание лечения.[/quote]
Если это действительно так, то мне следует от всей души поблагодарть всех, кто проявил участие в лечении моего захворавшего компа и крепко пожать всем стаканодержатели:druzja: , что я и делаю с большим удовольствием.
Что касается моей старой аси, то воры поочереди выходили на связь с людьми из моего контакт-листа и просили срочно одолжить денюжки на несколько дней путем покупки карт типа вэб-мани или яндекс-мани с последующей передачей номеров, кодов и паролей.
Вроде никто не повелся.
Вот кстати и вопрос: А те самые вирусы и червячки, от которых я избавился (сильно на это надеюсь), давали ли они возможность считывать пароли в почте, в месенджерах и в причих местах, где эти пароли находились? Вопрос, как вы понимаете, весьма не праздный.
На всякий случай поменяйте.
[PHP][/PHP][HTML][/HTML]И еще вопрос. Я фиксил файлы ,связанные с японскиа алфавитом. А не стоит ли пофиксить :
O9 - Extra button: Japanese Keywords Homepage - {5D73EE86-05F1-49ed-B850-E423120EC338} - http://www.jword.jp/intro/?partner=AP&type=lk&frm=iebutton[/url] (file missing)
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]34[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]