Нужна помощь!!!!!

Printable View

18.09.2007, 10:45
чайница

Нужна помощь!!!!!

Всё банально - в шапке страницы IE надпись hacked by godzilla, причём вкладка свойства папки в сервисе не работает, двойной щелчок мыши тормозит, а буквы на клаве иногда глючат! авз скачан, но поскольку я дикий чайник нормального антивируса у меня нет и я ваапще не зна что со всем этим делать!!!!!!!!!!((((((((((
мне жалко свой комп! спасите его плыыыз!!!!! :'-(

З.Ы. посоветуйте какой-нить хороший антивирус!!!!

Заранее ОГРОМНОЕ ЧЕЛОВЕЧЕСКОЕ СПАСИБО!!!!!!!!!!!!!!!!!!!!!!
18.09.2007, 11:21
PavelA

Банально все просто: 1шаг. распечатываем Правила и затем по шагам аккуратно выполняем.
Вариант 2: скачиваем Cure-It и проверяемся по полной программе.
18.09.2007, 14:20
чайница

Вложений: 3

мне прям стыдно, но я всё что можно было перепутать перепутала...
ссори(((

вроде всё что нужно выслала... надеюсь......
18.09.2007, 14:33
PavelA

Профиксить в hijackthis (отметить строчки и нажать "Fix"):

[CODE]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - (no file)
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program Files\ICQLite\ICQLite.exe (file missing)
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - D:\Нюша\Agent\MAgent.exe (file missing)
[/CODE]

в AVZ (Файл - Выполнить скрипт -- вставить текст -- нажать "Запустить")выполнить скрипт:
[CODE]begin
ClearHostsFile;
SearchRootkit(true,true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\MS32DLL.dll.vbs',' ');
DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
DeleteFile('C:\Documents and Settings\user\Шаблоны\Brengkolang.com');
ExecuteSysClean;
RebootWindows(true);
end.
[/CODE]

Удалить директорию MywebSearch.
18.09.2007, 14:56
чайница

УРРЯЯЯЯ!!!! Он жив!!! :)))))

СПАСИБО СПАСИБО СПАСИБО СПАСИБО СПАСИБО СПАСИБО СПАСИБО !!!!!!!!!
18.09.2007, 15:00
PavelA

Я думаю, что это еще не все, к великому сожалению.
Надо повторить логи еще разок. Посмотрим, что осталось.
18.09.2007, 15:34
чайница

Вложений: 3

это новые..
18.09.2007, 15:37
PavelA

Марина! Вы скрипт выполнили?
Все что удаляли живо-здорово.
18.09.2007, 15:39
чайница

конечно выполнила!!!! иначе с чего бы надпись исчезла???
попробую повторить.....
18.09.2007, 15:41
PavelA

Погодите минутку. Сейчас несколько строчек добавлю.
18.09.2007, 16:35
чайница

буду ждать....
18.09.2007, 16:44
PavelA

Уже давно все готово. Повторите скрипт, что №4. Я его поправил.
Если что-то попадет в карантин, загрузите по ссылке вверху темы.
Как это правильно сделать см. Приложение 3
Плюс еще один: (слона-то я и не заметил)
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('\??\C:\WINDOWS\TEMP\mc21.tmp','');
BC_DeleteFile('\??\C:\WINDOWS\TEMP\mc21.tmp');
BC_Activate;
RebootWindows(true);
end.[/CODE]
18.09.2007, 17:28
чайница

вроде что-то ещё осталось, но скинуть получится тока завтра...
19.09.2007, 16:42
чайница

Вложений: 3

И снова Здравствуйте!!!!

Вечером выполнила и перепроверила ещё раз все скрипты, надпись в шапке исчезла и всё было хорошо, но уже на утро надпись появилась снова!!!! Прикрепила последние логи, проверены сегодня. проверка через CureIt находит вирус, но вылечить не может.....

Надеюсь, попробуете ещё раз помочь....
19.09.2007, 17:03
Bratez

Годзиллу вам прописывает [B]C:\WINDOWS\MS32DLL.dll.vbs[/B], который вы скорее всего заносите со сменного носителя (флэшка, плеер, фото и т.п.). Поставьте какой-нибудь толковый антивирус вместо pctools и spywaredoctor'a и будет вам счастье :)

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

Сейчас выполните скрипт:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\MS32DLL.dll.vbs');
DeleteFile('C:\autorun.inf');
DeleteFile('D:\autorun.inf');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
и после перезагрузки пофиксите в HijackThis:
[code]
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Hacked by Godzilla
[/code]
19.09.2007, 17:11
Numb

В дополнение, пофиксите с помощью hijackthis строчки: [code]O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [MS32DLL] C:\WINDOWS\MS32DLL.dll.vbs
O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk570YYSE
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15-3.cab[/code] И прекратите ставить эти анимированные смайлы для ICQ :) Они вам в догонку MyWebSearch доустанавливают. Тут уж выбирайте - либо машина со смайлами, либо без spyware.
19.09.2007, 20:18
чайница

Спасибо всем, попробую, посмотрим что будет.....
cureit каждый раз находит этот вирус, и пишет что он удалён..... но при этом каждый раз находит........

кста насчёт смайлов без понятия, потому что я их не загружаю...так что это более чем странно...

и ещё один дуррацкий вопрос: посоветуйте плз антивирус стоящий.... например тот же др веб пойдёт???? как вообще со всей этой фигнёй бороться?????
19.09.2007, 20:22
V_Bond

[URL="http://virusinfo.info/showthread.php?t=1550"]рекомендуемые антивирусы[/URL]
19.09.2007, 20:44
чайница

СПАСИБО ВСЕМ!!!!!!!!!!!!))))
пока что всё чисто... если что буду мучить вас снова...;)))

безгранично благодарна за советы!!!!
19.09.2007, 21:36
drongo

комп домашний в единственном числе? Если да , то выполнить скрипт в AVZ:

[code]
begin
SetServiceStart('RemoteRegistry', 4);
SetServiceStart('TermService', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('RDSessMgr', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\Terminal Server','fAllowToGetHelp', 0);
RebootWindows(true);
end.[/code]

Чтобы уменьшить шанс заражения, на будущее :
1) Работать за компьютером с правами ограниченного пользователя.
2) Пользоваться для хождения по интернету альтернативным браузером [b]с отключёнными скриптами по умолчанию с лёгкостью разрешая доверенным сайтам выполнять скрипты [/b]([url=http://virusinfo.info/showthread.php?p=121290#post121290]Firefox[/url] и [url=http://virusinfo.info/showthread.php?t=6577]Opera[/url] это позволяют делать в отличии от IE 7 ,6....)
3) Прочитать электронную книгу "Безопасный Интернет". Универсальная защита для Windows ME - Vista": [url]http://security-advisory.newmail.ru[/url]

Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов : [url]http://virusinfo.info/showthread.php?t=3519[/url]
Мы будем Вам очень благодарны!

Удачи!
19.09.2007, 23:15
чайница

Вроде всё чисто, кроме злосчастного cureit, который продолжает выдавать вирус годзиллы и якобы его удалять...

в меню сервис вкладка свойства папки так и не восстановилась....
что бы это значило?

кста, оперу установила, работает отлично! спс!!!))
19.09.2007, 23:22
V_Bond

повторите логи...
22.02.2009, 02:28
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]3[/B][*]Обработано файлов: [B]5[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\windows\\ms32dll.dll.vbs - [B]Worm.VBS.Solow.b[/B] (DrWEB: VBS.Generic.579)[/LIST][/LIST]