Здравствуйте. У меня троян в системе:(.Я установил какой-то файл для просмотра видео и началось....Спасибо за "Проверку своего компьютера":).Я проследовал по всем шагам и вот,что у меня вышло...Очень прошу помочь..Заранее благодарен...СПАСИБО!!!!
Printable View
Здравствуйте. У меня троян в системе:(.Я установил какой-то файл для просмотра видео и началось....Спасибо за "Проверку своего компьютера":).Я проследовал по всем шагам и вот,что у меня вышло...Очень прошу помочь..Заранее благодарен...СПАСИБО!!!!
Вы как логи делали ? У вас виста(для справки 64 или 32 ? ), нужно обязательно правой кнопкой жать , выбирать админа, вставлять пароль... Вы так делали ?
Зайти в установка/удаление программ и удалить : My Web Search
Пришлите карантин по ссылке, там собралось.
Аааа,понятно...я только hijackthis.log делал через администратора....а 2 первых -нет...нужно ит сделать тоже через администратора???
[size="1"][color="#666686"][B][I]Добавлено через 58 секунд[/I][/B][/color][/size]
Заходить и удалять My Web Search тогда???
[quote=Manhet;198585]Аааа,понятно...я только hijackthis.log делал через администратора....а 2 первых -нет...нужно ит сделать тоже через администратора???[/quote]Да, переделать. Отключите перед исполнением всё что можете перед этим, слишком много программ работают у вас.
у меня 32
[quote=Manhet;198585]
Заходить и удалять My Web Search тогда???[/quote]
конечно удалять его, а затем делать логи.
Переделываю....
[size="1"][color="#666686"][B][I]Добавлено через 7 минут[/I][/B][/color][/size]
My Web Search не удаляеться...вот что пишет: Ошибка при загрузке С:\Progra 1\MyWebs 1\bar\1.bin\mwsbar.dill. Не найден указанный модуль...
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
извините,а карантин присылать по той же ссылке???
карантин присылать по ссылке [url]http://virusinfo.info/upload_virus.php?tid=19307[/url]
Спасибо...карантин прислал...только не получаеться удалить My Web Search ...что посоветуете???
Повторите логи.
Здравствуйте. У меня троян в системе:(.Я установил какой-то файл для просмотра видео и началось....Спасибо за "Проверку своего компьютера":).Я проследовал по всем шагам и вот,что у меня вышло...Очень прошу помочь..Заранее благодарен...СПАСИБО!!!!
[quote=drongo;198591]конечно удалять его, а затем делать логи.[/quote]
Здравствуйте....я отправил карантин.... сделал внова все логи с администратором....что посоветуете???Спасибо
1. Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\4A66~1\FlashGet\FlashGet\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] C:\Program Files\DrWeb\DRWEBSCD.EXE
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk789MXES
[/code]
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
BC_ImportDeletedList;
BC_DeleteSvc('MyWebSearchService');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Одного из антивирусов (Аваст или Др.Веб) надо удалить. Оставить того, кто действительно защищает.
Папку [b]C:\Program Files\MyWebSearch[/b] удалите полностью.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Выполните поиск файла [b]201007.msi[/b] на диске С: и все найденные экземпляры удалите.
[size="1"][color="#666686"][B][I]Добавлено через 12 минут[/I][/B][/color][/size]
Перезагрузите компьютер, потом скопируйте код из рамочки в .bat файл и выполните его:
[code]
RD /S /Q "C:\Documents and Settings\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Documents and Settings\Toshiba\Local Settings\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\Local Settings\Application Data\Application Data"[/code]
После этого сделайте новые логи.
[quote=Bratez;198875]1. Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: FlashGet Bar - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - E:\4A66~1\FlashGet\FlashGet\fgiebar.dll (file missing)
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] C:\Program Files\DrWeb\DRWEBSCD.EXE
O4 - HKLM\..\Run: [My Web Search Bar Search Scope Monitor] "C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe" /m=0
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZNxmk789MXES
[/code]
2. Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3SRCHMN.EXE');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwssvc.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
BC_ImportDeletedList;
BC_DeleteSvc('MyWebSearchService');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.[/quote]
Спасибо за помошь....так...все упомянутое в цитате сделал...камп ерезагрузился..
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[quote=Bratez;198878]Папку [B]C:\Program Files\MyWebSearch[/B] удалите полностью.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Выполните поиск файла [B]201007.msi[/B] на диске С: и все найденные экземпляры удалите.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 12 минут[/I][/B][/COLOR][/SIZE]
Перезагрузите компьютер, потом скопируйте код из рамочки в .bat файл и выполните его:
[code]
RD /S /Q "C:\Documents and Settings\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Documents and Settings\Toshiba\Local Settings\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\Local Settings\Application Data\Application Data"[/code]
После этого сделайте новые логи.[/quote]
Файла [B]201007.msi[/B] нашел...ни на диске С ни на D...
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
[quote=Bratez;198878]Папку [B]C:\Program Files\MyWebSearch[/B] удалите полностью.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 1 минуту[/I][/B][/COLOR][/SIZE]
Выполните поиск файла [B]201007.msi[/B] на диске С: и все найденные экземпляры удалите.
[SIZE=1][COLOR=#666686][B][I]Добавлено через 12 минут[/I][/B][/COLOR][/SIZE]
Перезагрузите компьютер, потом скопируйте код из рамочки в .bat файл и выполните его:
[code]
RD /S /Q "C:\Documents and Settings\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Documents and Settings\Toshiba\Local Settings\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\AppData\Local\Application Data\Application Data"
RD /S /Q "C:\Users\Toshiba\Local Settings\Application Data\Application Data"[/code]
После этого сделайте новые логи.[/quote]
Простите....а .bat файл где искать???извините за незнание..
:D Ловите готовый, так будет проще
(сохраните, измените расширение на [b]bat[/b] и запустите):
[quote=Bratez;198901]:D Ловите готовый, так будет проще
(сохраните, измените расширение на [B]bat[/B] и запустите):[/quote]
Ага...сделал...запустил...но у меня ничего не появилось...что-то маргнуло и все...наверое так должно быть??..сейчас сделаю новые логи..и прислать всм сюда же??
Все нормально, давайте новые логи, только не забудьте - от имени Администратора.
[quote=Bratez;198917]Все нормально, давайте новые логи, только не забудьте - от имени Администратора.[/quote]
Хорошо,спасибо....уже делаю!!!
Готово....вот логи:
Все в порядке. Выполните такой скриптик для подчистки:
[code]begin
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
ExecuteSysClean;
end.[/code]
А еще полезно полностью удалить содержимое этих мусоросборников:
C:\Documents and Settings\Toshiba\AppData\Local\Temp
C:\Documents and Settings\Toshiba\Local Settings\Temp
C:\Users\Toshiba\AppData\Local\Temp
C:\Users\Toshiba\Local Settings\Temp
[quote=Bratez;198946]Все в порядке. Выполните такой скриптик для подчистки:
[code]begin
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\m3SrchMn.exe');
DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');
ExecuteSysClean;
end.[/code]
А еще полезно полностью удалить содержимое этих мусоросборников:
C:\Documents and Settings\Toshiba\AppData\Local\Temp
C:\Documents and Settings\Toshiba\Local Settings\Temp
C:\Users\Toshiba\AppData\Local\Temp
C:\Users\Toshiba\Local Settings\Temp[/quote]
Спасибо,но уменя вссе равно выходит сообщение зараженности кампьютера..:Your computer was infected by unknown trojan.It is dangerous for your system (critical files can be lost).
сделайте новые логи ...
[quote=V_Bond;198960]сделайте новые логи ...[/quote]
Вот сделал новые логи:
выполните скрипт ...
[code]
begin
QuarantineFile('C:\Windows\wmpdxm.dll','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил
Скрипт сделал...нашел вирут...червь....я его удалил...с avast...отправляю карантин
пришлите карантин как написано в правилах ... без самодеятельности с переименованием ...
[quote=V_Bond;199034]пришлите карантин как написано в правилах ... без самодеятельности с переименованием ...[/quote]
окей...простите
[size="1"][color="#666686"][B][I]Добавлено через 18 минут[/I][/B][/color][/size]
Все...вроде теперь правильно???
конечно нет .... приложение 3 правил прочитайте ... ( там написано использовать кирилицу ? )
простите еще раз...просто там не написано...
[size="1"][color="#666686"][B][I]Добавлено через 14 минут[/I][/B][/color][/size]
а сейчас??
C:\Windows\wmpdxm.dll [B]Trojan-Downloader.Win32.Delf.fhp[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D480850D-85D1-4836-9AEA-86C185CDAE29}');
DeleteFile('C:\Windows\wmpdxm.dll');
BC_DeleteFile('C:\Windows\wmpdxm.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...
[quote=V_Bond;199052]C:\Windows\wmpdxm.dll [B]Trojan-Downloader.Win32.Delf.fhp[/B]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{D480850D-85D1-4836-9AEA-86C185CDAE29}');
DeleteFile('C:\Windows\wmpdxm.dll');
BC_DeleteFile('C:\Windows\wmpdxm.dll');
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
повторите логи ...[/quote]
ага...нашел...удалил...делаю логи
удалять ничего не нужно было ( где я такое написал ?..."иду спать - наверно заговариваюсь") ... нужно просто выполнить скрипт ...
[quote=V_Bond;199056]удалять ничего не нужно было ( где я такое написал ?..."иду спать - наверно заговариваюсь") ... нужно просто выполнить скрипт ...[/quote]
простите....просто у меня сражу же (после вполнения скрипта) выскачило предупреждения avast от том,что там троян...он был неизлечим и я его удалил....а вот сейчас это предупреждение исчезло после перезагрузки...
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
делаю новые логи
Сделал новые логи...вот::::
Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Toshiba\AppData\Local\Temp\201007.msi');
DeleteFile('C:\Documents and Settings\Toshiba\Local Settings\Temp\201007.msi');
DeleteFile('C:\Users\Toshiba\AppData\Local\Temp\201007.msi');
DeleteFile('C:\Users\Toshiba\Local Settings\Temp\201007.msi');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
В логах больше ничего подозрительного нет, только это безобразие с вложенными папками Application Data... Какой-то кривой софт это делает, но какой именно, докопаться вряд ли получится.
[quote=Bratez;199067]Выполните такой скрипт:
[code]
begin
SetAVZGuardStatus(True);
DeleteFile('C:\Documents and Settings\Toshiba\AppData\Local\Temp\201007.msi');
DeleteFile('C:\Documents and Settings\Toshiba\Local Settings\Temp\201007.msi');
DeleteFile('C:\Users\Toshiba\AppData\Local\Temp\201007.msi');
DeleteFile('C:\Users\Toshiba\Local Settings\Temp\201007.msi');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/code]
В логах больше ничего подозрительного нет, только это безобразие с вложенными папками Application Data... Какой-то кривой софт это делает, но какой именно, докопаться вряд ли получится.[/quote]
Понятно....скрипт выполнил....вот последние логи:
Все чисто.
вот еще..