NOD32 плох?

[ozzik]

пока проблем не заметил. Но родной НОД32 выдал 2 вируса в RECYCLER в архиве cab, а ваш ДрВеб почти 30!!! Втом числе в папке Нод и с сайта для заставки (популяр.скринсеверс и майвебсерч) После лечения их заставки не работают. Надеюсь на Ваше понимание и помощь.

[Bratez]

Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: (no name) - {A5366673-E8CA-11D3-9CD9-0090271D075B} - (no file)
O3 - Toolbar: My Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\MWSBAR.DLL,S
O4 - HKCU\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe
O4 - HKCU\..\Run: [PopularScreensaversWallpaper] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\F3SCRCTR.DLL,LES

Выполните скрипт в AVZ:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\BitAccelerator\BitAccelerator.dll','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После перезагрузки пришлите карантин согласно приложению 3 правил.
Сделайте новые логи.

[Muzzle]

если интересно то у вас
http://www.viruslist.com/ru/viruses/...?virusid=62066
думаю явно вам не нужная

[ozzik]

кстате, программку МАЙВЕБСЕРЧ нельзя теперь удали, пишит чето нехватает. Ваши указания выполню позже, работаю.

[ozzik]

Выслал карантин. Новые логи делать также как для первого сообщения?

[Muzzle]

да, точно также.

[ozzik]

вот логи А карантин я тот прислал?

[Muzzle]

карантин пришёл,логи гляну чуть чуть позже.

[Bratez]

BitAccelerator.dll - программа-реклама not-a-virus:AdWare.Win32.BHO.cc

1. Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL');
 DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\MWSBAR.DLL');
 DeleteFile('C:\Program Files\BitAccelerator\BitAccelerator.dll');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

2. Удалите полностью папки:
C:\Program Files\MyWebSearch
C:\Program Files\BitAccelerator
C:\Program Files\ConnectionServices

3. Пофиксите в HijackThis:

Код:

O2 - BHO: BitAccelerator module - {92860A02-4D69-48c1-82D7-EF6B2C609502} - C:\Program Files\BitAccelerator\BitAccelerator.dll

4. Для контроля сделайте новые логи, начиная с п.10 правил.

[ozzik]

программки BitAccelerator, ConnectionServices и MyWebSearch остались в "установка и удаление программ"

[Muzzle]

Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

 
O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm185YYRU
O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei/PopularScreenSaversFW BInitialSetup1.0.0.15-3.cab

Для удаление записей в реестре выполните скрипт

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

begin
SetAVZGuardStatus(True);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitAccelerator');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConnectionServices');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch');
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Больше ничего подозрительного нет.
Советую работать за компьютером под пользователем с ограниченными правами.
По возможности не пользоваться Internet Explorer,а использовать альтернативные браузеры,например Firefox,Opera(с отключёнными java скриптами,разрешать их выполнение только для доверенных сайтов)
Советую прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".

Удачи!

[Bratez]

программки BitAccelerator, ConnectionServices и MyWebSearch остались в "установка и удаление программ"

Для устранения выполните скрипт:

Код:

begin
SetAVZGuardStatus(True);
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\BitAccelerator');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\ConnectionServices');
 RegKeyDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\MyWebSearch');
RebootWindows(true);
end.

[ozzik]

не могу выполнить последний скрипт. Ошибка : not enough actual parametrs в позиции 3:16 Ещё осталась папка C:\Program Files\FunWebProducts , она тоже помойму с СКРИНСЕВЕРС. Удалить?

[AndreyKa]

не могу выполнить последний скрипт.

Качайте новую версию AVZ http://z-oleg.com/avz4.zip

Ещё осталась папка C:\Program Files\FunWebProducts , она тоже помойму с СКРИНСЕВЕРС. Удалить?

Да, папку удалите.

[ozzik]

полуилось. Не знаю как в реестре,но в "установка и удаление программ" они остались! (программки BitAccelerator, ConnectionServices и MyWebSearch )

Добавлено через 2 часа 48 минут

BitAccelerator так же наблюдается в ПУСК => все программы

[Bratez]

в "установка и удаление программ" они остались!

Скрипт не срабатывает, видимо ключи в Uninstall называются не по имени программы, а в виде {...буковки-циферки...}. Значит, надо нажимать их по очереди в regedit'е и смотреть на параметр DisplayName в правой половине экрана - только так и можно понять, кто есть who. Но если с regedit не знакомы, лучше оставьте все как есть, это ни на что не влияет. Или попробуйте какую-нибудь программу - унинсталлер / очиститель реестра.

BitAccelerator так же наблюдается в ПУСК => все программы

Ну это удалить проще пареной репы...

[ozzik]

СПАСИБО! и ещё вопросик, возвращаясь к названию темы. Глубокий анализ НОДом показал вирус в зип файле. Нашёл и проверил этот зип персонально - НУЛЬ вирусов! Как это понимать? (это было неделю назад, файл удалил)

[Bratez]

Глубокий анализ НОДом показал вирус в зип файле. Нашёл и проверил этот зип персонально - НУЛЬ вирусов! Как это понимать?

Случаются иногда и ложные срабатывания, от этого ни один антивирус не застрахован.

[ozzik]

Извините что опять возращаюсь к эой теме. Мы здесь помимо прочего удалили МайВебСерч. Вчера обновил на оф сайте Интернет Эксплорер7. Теперь в панели инструментов похожая фигня опять. Раньше считалось что это бяка, а теперь Майкрософт сам её устанавливает!?

[V_Bond]

прочитайте это