кража номера ICQ

Добрый день.
Все началось с того, что у меня вчера упёрли мой номер аськи. То что сперли , это потом мне объяснилли добрые дюди. Кстати воры выходят на связь с моими контрагентами из контакт листа и просят в долг деньги!!!
Мне хоть и жаль мой номер (я регился почти 8 лет назад) но дело не в этом. Я зарегестрировался заново. Но стоило мне отключитьсz на 10 мин., как у мени увели и этот новый номер.
Я проверился каспером - он ничего не нашел. По совету приятеля я проверился вашим антивирусом. Он пишет неприятные вещи, но ничего не трогает. Вот например:
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\DOWNLO~1\CnsMin.dll ЭПС: подозрение на Spy.CnsMin (высокая степень вероятности)
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
При этом в в протоколе остались висеть пару десятков файлов "Перехватчиков KernelMode", один - "подозрение на Keylogger или троянскую DLL", и один - "ЭПС: подозрение на Spy.CnsMin", это не считая файлов антивируса Каспера.
Я - юзер совсем слабый, и мне не понятно, что со всем этим делать.
Буду благодарен за дельные советы.

Думаю, следует добавить, что возможно вирус был подцеплен при попытке открыть открытку, пришедшую на мыло, кем нибудь из моих домашних.

Нужны логи в соответствии с правилами. Внимательно прочитайте [URL="http://virusinfo.info/showthread.php?t=1235"]правила[/URL] и сделайте пожалуйста логи.

В п.7 правил написано:
[B][COLOR=#a52a2a]7. [/COLOR][/B]Отключите восстановление системы (Windows Me/XP).
Подскажите плз, как это сделать

смотрите далее в правилах Приложение 1

Cпасибо за подсказки:)
Вроде все выполнил и выслал. Получил подтверждение, что выслал успешно, но не вижу появления изображения. Опять где-то лажанулся?

Нужно прикрепить к теме логи AVZ и HijackThis (п.8-12 правил).

я пытался, но меня "обматерили". Принят к пересылки только один зазипованный файл, который был получен посредством приложения 2. Но вот правильность этой операции меня смущает, потому, как когда я следовал строгим рекомендациям пункта 2 Прил-я 2, то прога выругалась следующими словами:
"Ошибка карантина файла "virusinfo_syscure.zip", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\virusinfo_syscure.zip", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка..."
ну и так далее по всему списку.
Тогда я открыл карантин ,и обнаружил там это: C:\WINDOWS\DOWNLO~1\CnsMin.dll
Именно это я и заархивировал. Здесь наверное где-то и скрывается мой косячок:)

Полученные логи нужно [b]прикрепить[/b]к сообщению! Нажмите "Ответ", напишите сообщение, нажмите "управление вложениями", там уже вообще всё просто. Обратите внимание, что приложить нужно только файлы: virusinfo_syscheck.zip , virusinfo_syscure.zip , hijackthis.log

Спасибо.
Вроде получилось

Пока выполните скрипт: (AVZ--> файл--> выполнить скрипт--> скопировать код , вставить и нажать "выполнить"):
[code]begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.[/code]
После перезагрузки полученый карантин прислать по Приложению 3 Правил (ссылка на загрузку наверху темы, номер темы 8763)

c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.

[quote=Кто?;102236]Пока выполните скрипт: (AVZ--> файл--> выполнить скрипт--> скопировать код , ...После перезагрузки полученый карантин прислать по Приложению 3 Правил (ссылка на загрузку наверху темы, номер темы 8763)[/quote]
Попробовал...
В протоколе выдает : Ошибка скрипта: ')' expected, позиция [4:17] :embarasse
Опять что-то не то делаю? Но вроде все правильно.

Поправил скрипт, теперь не должна ругаться.

[quote=PavelA;102258]c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.[/quote]
Я не смог найти. Возможно я неправильно делал. А сделал я следующее:
запустил програму, стартанул "выполнить лечение" с копированием подозрительного в карантин. Потом открыл просмотр протокола найденных объектов и посмотрел список. Такого там не обнаружил.

[quote=pig;102365]Поправил скрипт, теперь не должна ругаться.[/quote]
Попробовал, теперь ругается так:
Ошибка скрипта: ';' expected, позиция [11:1]

Ещё раз поправил.

[quote=pig;102383]Ещё раз поправил.[/quote]
на этот раз прошло.
Отправил все. Заархивировал все что там было без разбора.
Но по-моему после этой процедуры карантин не изменился.

Сразу прошу прощения за рваный скрипт.

Контрольные выстрелы были в трупы?
Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.

Найдите всё-таки (AVZ --> Сервис --> Поиск файлов на диске --> вставьте нужное в окно справа наверху имя файла или маску) то, что просил PavelA в посте #12.
Отметьте галочкой и нажмите добавить в карантин. Карантин пришлите.

Просканируйте ещё раз в HijackThis, поставьте галочки на строчках:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (file missing)
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
Нажмите "Fix Checked"

[quote=Кто?;102428]Сразу прошу прощения за рваный скрипт.
Контрольные выстрелы были в трупы?
Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.[/quote]
Cпасибо, попробую вечером, когда доберусь до своего компа, выполнить все рекомендации.

Строчку с klogon.dll не фиксите - это от Касперского.

Это тоже не надо фиксить:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Интеловский видеодрайвер.

Итак , по пункту 1:
[QUOTE]Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.[/QUOTE]
Сделал, выслал.
по пункту 3:
[QUOTE]Просканируйте ещё раз в HijackThis, поставьте галочки на строчках:[/QUOTE]
после нескольких предупреждений программа выполнила команду, и я ее закрыл.
А вот с пунктом 2 :
[QUOTE]Найдите всё-таки (AVZ --> Сервис --> Поиск файлов на диске --> вставьте нужное в окно справа наверху имя файла или маску) то, что просил PavelA в посте #12. [/QUOTE]
опять неудача. Прошолся и по по всему диску. Результат:
"Поиск файлов по маске c:\windows\system32\oodag.exe
Поиск файлов завершен
Просмотрено 154743, найдено 0"
А не связано ли это с тем, что у меня висит одно неинсталированное обновление виндов "Уведомление о результатах проверки подлинности Windows (KB905474)"?
Я совершенно не собираюсь его инсталировать, и оно висит у меня, постоянно напоминая о себе.

[quote=PavelA;102455]Строчку с klogon.dll не фиксите - это от Касперского.[/quote]
[quote=pig] Это тоже не надо фиксить:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Интеловский видеодрайвер.[/quote]
Поздно :)

в HijackThis можно откатиться назад. Есть волшебная кнопочка Backups.
Без видео драйвера плохо будет жить.

[quote=PavelA;102517]в HijackThis можно откатиться назад. Есть волшебная кнопочка Backups.
Без видео драйвера плохо будет жить.[/quote]
Cпасибо за подсказку, попробую.

В бэкапе я их пометил, а вот что нажать? Как я понимаю restore?

Угу.

[quote=PavelA;102258]c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.[/quote]
Я все-таки нашел его, добавил в карантин, но когда открыл карантин, то именно его не обнаружил. Вернее файл с таким именем.
Правда, похоже появился новый файл с причиной карантина "Скопирован МП" (он - последний по списку). Может это он, и его надо прислвть? Или таки прислать еще раз весь карантин?

[b]PavelA, pig[/b] Спасибо.

[b]NDA[/b] Шлите весь.

[quote=Кто?;102559][B]NDA[/B] Шлите весь.[/quote]
Отправил. virus4.zip
Отпишитесь пожалуйста, там ли искомый файл.

... воцарилось гробовое молчание...
:)

C:\WINDOWS\DOWNLO~1\CnsMin.dll - чистый по результатам проверки на virustotal.
c:\windows\system32\oodag.exe - в карантине его не оказалось.
Сейчас погуглю на его тему. Говорят, правильный дефрагментатор, ничего плохого делать не должен.

Надо сделать новые логи после прошедшей чистки.

Понял, Спасибо, сделаю. Единственный вопрос, у меня там с прошлых процедур остались карантины, зазипованные архивы, отчеты и проч. Их убить, или пусть пока лежат?

[quote=PavelA;102703]c:\windows\system32\oodag.exe - в карантине его не оказалось.[/quote]
Странно... почему я не могу его отловить. Вроде вот он, программа его находит. Нажимаю "сохранить", закрываю поиск, открываю карантин - его нет. Мож я опять что-то не то делаю?

Карантины можно удалять.

c:\windows\system32\oodag.exe - правильный файл, поэтому и не добавляется.

Повторил, загрузил

вот теперь ок

в hijackThis профиксить
[CODE]
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
[/CODE]

Интересно узнать: с японским языком Вы работаете?
Просто интересные следы имеются в протоколе Hijack.

Павел, Я довольно часто заглядываю на тамошние сайты, а у меня не было шрифтов. Соответственно все открывалось коряво и не возможно было понять и перевести в гугле. После установки по какой-то подсказки с яху все заработало и появилась возможность полноценно ковыряться на джапановских ресурса.
Может я наинсталял чего лишнего?