NOD32 плох?

пока проблем не заметил. Но родной НОД32 выдал 2 вируса в RECYCLER в архиве cab, а ваш ДрВеб почти 30!!! Втом числе в папке Нод и с сайта для заставки (популяр.скринсеверс и майвебсерч) После лечения их заставки не работают. Надеюсь на Ваше понимание и помощь.

Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [PopularScreensaversWallpaper] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\F3SCRCTR.DLL,LES
[/code]
Выполните скрипт в AVZ:
[code]
begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

если интересно то у вас
[url]http://www.viruslist.com/ru/viruses/encyclopedia?virusid=62066[/url]
думаю явно вам не нужная ;)

кстате, программку МАЙВЕБСЕРЧ нельзя теперь удали, пишит чето нехватает. Ваши указания выполню позже, работаю.

Выслал карантин. Новые логи делать также как для первого сообщения?

да, точно также.

вот логи А карантин я тот прислал?

карантин пришёл,логи гляну чуть чуть позже.

BitAccelerator.dll - программа-реклама [B]not-a-virus:AdWare.Win32.BHO.cc[/B]

1. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
2. Удалите полностью папки:
[B]C:\Program Files\MyWebSearch
C:\Program Files\BitAccelerator
C:\Program Files\ConnectionServices[/B]

3. Пофиксите в HijackThis:
[code]
O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll
[/code]

4. Для контроля сделайте новые логи, начиная с п.10 правил.

программки BitAccelerator, ConnectionServices и MyWebSearch остались в "установка и удаление программ"

Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm185YYRU
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab
[/CODE]

Для удаление записей в реестре выполните скрипт

[url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SetAVZGuardStatus(True);
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitAccelerator');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConnectionServices');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch');
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Больше ничего подозрительного нет.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL] "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи!

[QUOTE]программки BitAccelerator, ConnectionServices и MyWebSearch остались в "установка и удаление программ"[/QUOTE]
Для устранения выполните скрипт:
[code]
begin
SetAVZGuardStatus(True);
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitAccelerator');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConnectionServices');
RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch');
RebootWindows(true);
end.[/code]

не могу выполнить последний скрипт. Ошибка : not enough actual parametrs в позиции 3:16 Ещё осталась папка C:\Program Files\FunWebProducts , она тоже помойму с СКРИНСЕВЕРС. Удалить?

[QUOTE='ozzik;130674']не могу выполнить последний скрипт.[/QUOTE]
Качайте новую версию AVZ [url]http://z-oleg.com/avz4.zip[/url]

[QUOTE='ozzik;130674']Ещё осталась папка C:\Program Files\FunWebProducts , она тоже помойму с СКРИНСЕВЕРС. Удалить?[/QUOTE]Да, папку удалите.

полуилось. Не знаю как в реестре,но в "установка и удаление программ" они остались! (программки BitAccelerator, ConnectionServices и MyWebSearch )

[size="1"][color="#666686"][B][I]Добавлено через 2 часа 48 минут[/I][/B][/color][/size]

BitAccelerator так же наблюдается в ПУСК => все программы

[QUOTE]в "установка и удаление программ" они остались![/QUOTE]
Скрипт не срабатывает, видимо ключи в Uninstall называются не по имени программы, а в виде {...[I]буковки-циферки[/I]...}. Значит, надо нажимать их по очереди в [B]regedit[/B]'е и смотреть на параметр [B]DisplayName[/B] в правой половине экрана - только так и можно понять, кто есть who. Но если с regedit не знакомы, лучше оставьте все как есть, это ни на что не влияет. Или попробуйте какую-нибудь программу - унинсталлер / очиститель реестра.

[QUOTE]BitAccelerator так же наблюдается в ПУСК => все программы[/QUOTE]
Ну это удалить проще пареной репы...

СПАСИБО! и ещё вопросик, возвращаясь к названию темы. Глубокий анализ НОДом показал вирус в зип файле. Нашёл и проверил этот зип персонально - НУЛЬ вирусов! Как это понимать? (это было неделю назад, файл удалил)

[QUOTE]Глубокий анализ НОДом показал вирус в зип файле. Нашёл и проверил этот зип персонально - НУЛЬ вирусов! Как это понимать?[/QUOTE]
Случаются иногда и ложные срабатывания, от этого ни один антивирус не застрахован.

Извините что опять возращаюсь к эой теме. Мы здесь помимо прочего удалили МайВебСерч. Вчера обновил на оф сайте Интернет Эксплорер7. Теперь в панели инструментов похожая фигня опять. Раньше считалось что это бяка, а теперь Майкрософт сам её устанавливает!?

[URL="http://www.viruslist.com/ru/viruses/encyclopedia?virusid=62066"]прочитайте это[/URL]

Я это уже читал. Только я теперь не пойму : Раньше считалось что это бяка, а теперь Майкрософт сам её устанавливает!? Мне теперь заново лечить или довериться Майкрософту!?

[QUOTE=ozzik;133490]Я это уже читал. Только я теперь не пойму : Раньше считалось что это бяка, а теперь Майкрософт сам её устанавливает!? Мне теперь заново лечить или довериться Майкрософту!?[/QUOTE]

А где сказано, что ее Microsoft ставит?!

[QUOTE][B]Author[/B] MyWebSearch.com
Author Description The MyWebSearch toolbar is a tremendously powerful and totally customizable toolbar that installs directly onto your Web browser. It allows you to search the Web using the Internet's leading search providers (Google, Yahoo!, Ask Jeeves and LookSmart) You can create your own toolbar buttons and add up to 200 of your own personalized links.
[B]Author URL[/B] mywebsearch.com[/QUOTE]

[quote=SuperBrat;133491]А где сказано, что ее Microsoft ставит?![/quote] Вчера обновил на оф сайте Интернет Эксплорер7!!! Так что этот поисковик сам врезался ( в безопасное соединение с Microsoftом ) А у Вас нет такой фигни или Вы не обновляете Эксплорер7?

[QUOTE='ozzik;133503']А у Вас нет такой фигни или Вы не обновляете Эксплорер7?[/QUOTE]
Я никогда не щелкаю все кнопочки подряд только потому, что там есть надпись "Ok" или "Yes". Иногда полезно читать надписи (не только на русском языке). Иностранный в школе не зря преподают. ;)

[QUOTE=ozzik;133503]ВТак что этот поисковик сам врезался [/QUOTE]
ко всему это не поисковик вовсе, MyWebSearch, ПНП, которая встраивает в Internet Explorer поисковую панель. На самом деле эта поисковая строка лишь ретранслирует результаты поиска из традиционных поисковиков, таких как Google....

[B]SuperBrat[/B], было сказано что обновление для безопасной работы в инете. К тому же по русски.
[B]V_Bond[/B], Так с этим можно жить?

если вас устраивает,что за вами шпионят ... то можно...

Обыкновенный откат поможет?

вы что хотите ваш зверинец восстанавливать ?

[QUOTE='ozzik;133508']SuperBrat, было сказано что обновление для безопасной работы в инете. К тому же по русски.[/QUOTE]

[B]ozzik[/B], я понимаю, что вы не читаете по-английски. Я привел вам выписку от разработчика вашей рекламной панели (указал его название и адрес). Разработчик не Microsoft (она делает IE7), а рекламную панель - MyWebSearch.com.

нет, хочу жить без зверей и шпионов. Я ни чего не понимаю... Так всётаки мне там подсунули шпиона вместе с обновлением? Я чел новый, учусь, во всех тонкостях не разбираюсь. Я доверился оф сайту Майкрософт, безопасное соединение и в итоге таже фигня. ...что мне делать?

not-a-virus:AdWare.ToolBar.MyWebSearch может вылечить «Лаборатория Касперского», а также Doctor Web, H+BEDV, SOFTWIN, ClamAV, Panda. Предлагаю скачать свежий [URL="http://www.freedrweb.com/"]Dr.Web CureIt![/URL] и удалить эту рекламную панель. А на будущее: не соглашайтесь на установку новых панелей. Ваше согласие (нажатие кнопки да или ок) могут получить обманом, пообещав супер-ускорение вашей работы и т.п.

при установке вас предупреждали , что эта штука имеет функции адвари.... вы с этим согласились , (не читая) ....

[B]SuperBrat[/B], доктор удалит рекламную панель, а обновления Эксплорер останутся? ( только начал к ним привыкать )
[B]V_Bond[/B], возможно я не заметил про функции адвари, но и не было выбора - на НЕТ и обновления НЕТ. Повторюсь, что я доверился Майкрософту, на любом другом сайте я был бы осторожнее!

обновления останутся.... конечно...

Dr.Web ни чего не нашёл. ( только карантин в НОДе, его удалить?)

каратин нода конечно удаляйте ...

[quote=SuperBrat;133538]Предлагаю скачать свежий [URL="http://www.freedrweb.com/"]Dr.Web CureIt![/URL] и удалить эту рекламную панель. [/quote]
Dr.Web ни чего не обнаружил. Как удалить эту рекламную панель?

[QUOTE=ozzik;134218]Dr.Web ни чего не обнаружил. Как удалить эту рекламную панель?[/QUOTE]
была удалена скриптом на первой странице...

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\program files\\bitaccelerator\\bitaccelerator.dll - [B]not-a-virus:WebToolbar.Win32.BitAccelerator.a[/B] (DrWEB: Trojan.BitAcc)[/LIST][/LIST]