кража номера ICQ

[PavelA]

Строчку с klogon.dll не фиксите - это от Касперского.

[pig]

Это тоже не надо фиксить:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Интеловский видеодрайвер.

[NDA]

Итак , по пункту 1:

Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.

Сделал, выслал.
по пункту 3:

Просканируйте ещё раз в HijackThis, поставьте галочки на строчках:

после нескольких предупреждений программа выполнила команду, и я ее закрыл.
А вот с пунктом 2 :

Найдите всё-таки (AVZ --> Сервис --> Поиск файлов на диске --> вставьте нужное в окно справа наверху имя файла или маску) то, что просил PavelA в посте #12.

опять неудача. Прошолся и по по всему диску. Результат:
"Поиск файлов по маске c:\windows\system32\oodag.exe
Поиск файлов завершен
Просмотрено 154743, найдено 0"
А не связано ли это с тем, что у меня висит одно неинсталированное обновление виндов "Уведомление о результатах проверки подлинности Windows (KB905474)"?
Я совершенно не собираюсь его инсталировать, и оно висит у меня, постоянно напоминая о себе.

[NDA]

Строчку с klogon.dll не фиксите - это от Касперского.

Это тоже не надо фиксить:
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
Интеловский видеодрайвер.

Поздно

[PavelA]

в HijackThis можно откатиться назад. Есть волшебная кнопочка Backups.
Без видео драйвера плохо будет жить.

[NDA]

в HijackThis можно откатиться назад. Есть волшебная кнопочка Backups.
Без видео драйвера плохо будет жить.

Cпасибо за подсказку, попробую.

[NDA]

В бэкапе я их пометил, а вот что нажать? Как я понимаю restore?

[PavelA]

Угу.

[NDA]

c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.

Я все-таки нашел его, добавил в карантин, но когда открыл карантин, то именно его не обнаружил. Вернее файл с таким именем.
Правда, похоже появился новый файл с причиной карантина "Скопирован МП" (он - последний по списку). Может это он, и его надо прислвть? Или таки прислать еще раз весь карантин?

[Кто?]

PavelA, pig Спасибо.

NDA Шлите весь.

[NDA]

NDA Шлите весь.

Отправил. virus4.zip
Отпишитесь пожалуйста, там ли искомый файл.

[NDA]

... воцарилось гробовое молчание...

[PavelA]

C:\WINDOWS\DOWNLO~1\CnsMin.dll - чистый по результатам проверки на virustotal.
c:\windows\system32\oodag.exe - в карантине его не оказалось.
Сейчас погуглю на его тему. Говорят, правильный дефрагментатор, ничего плохого делать не должен.

Надо сделать новые логи после прошедшей чистки.

[NDA]

Понял, Спасибо, сделаю. Единственный вопрос, у меня там с прошлых процедур остались карантины, зазипованные архивы, отчеты и проч. Их убить, или пусть пока лежат?

[NDA]

c:\windows\system32\oodag.exe - в карантине его не оказалось.

Странно... почему я не могу его отловить. Вроде вот он, программа его находит. Нажимаю "сохранить", закрываю поиск, открываю карантин - его нет. Мож я опять что-то не то делаю?

[PavelA]

Карантины можно удалять.

c:\windows\system32\oodag.exe - правильный файл, поэтому и не добавляется.

[NDA]

Повторил, загрузил

[NDA]

вот теперь ок

[PavelA]

в hijackThis профиксить

Код:

O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe

Интересно узнать: с японским языком Вы работаете?
Просто интересные следы имеются в протоколе Hijack.

[NDA]

Павел, Я довольно часто заглядываю на тамошние сайты, а у меня не было шрифтов. Соответственно все открывалось коряво и не возможно было понять и перевести в гугле. После установки по какой-то подсказки с яху все заработало и появилась возможность полноценно ковыряться на джапановских ресурса.
Может я наинсталял чего лишнего?