кража номера ICQ

[NDA]

Добрый день.
Все началось с того, что у меня вчера упёрли мой номер аськи. То что сперли , это потом мне объяснилли добрые дюди. Кстати воры выходят на связь с моими контрагентами из контакт листа и просят в долг деньги!!!
Мне хоть и жаль мой номер (я регился почти 8 лет назад) но дело не в этом. Я зарегестрировался заново. Но стоило мне отключитьсz на 10 мин., как у мени увели и этот новый номер.
Я проверился каспером - он ничего не нашел. По совету приятеля я проверился вашим антивирусом. Он пишет неприятные вещи, но ничего не трогает. Вот например:
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\DOWNLO~1\CnsMin.dll ЭПС: подозрение на Spy.CnsMin (высокая степень вероятности)
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
При этом в в протоколе остались висеть пару десятков файлов "Перехватчиков KernelMode", один - "подозрение на Keylogger или троянскую DLL", и один - "ЭПС: подозрение на Spy.CnsMin", это не считая файлов антивируса Каспера.
Я - юзер совсем слабый, и мне не понятно, что со всем этим делать.
Буду благодарен за дельные советы.

[NDA]

Думаю, следует добавить, что возможно вирус был подцеплен при попытке открыть открытку, пришедшую на мыло, кем нибудь из моих домашних.

[Синауридзе Александр]

Нужны логи в соответствии с правилами. Внимательно прочитайте правила и сделайте пожалуйста логи.

[NDA]

В п.7 правил написано:
7. Отключите восстановление системы (Windows Me/XP).
Подскажите плз, как это сделать

[drongo]

смотрите далее в правилах Приложение 1

[NDA]

Cпасибо за подсказки
Вроде все выполнил и выслал. Получил подтверждение, что выслал успешно, но не вижу появления изображения. Опять где-то лажанулся?

[Bratez]

Нужно прикрепить к теме логи AVZ и HijackThis (п.8-12 правил).

[NDA]

я пытался, но меня "обматерили". Принят к пересылки только один зазипованный файл, который был получен посредством приложения 2. Но вот правильность этой операции меня смущает, потому, как когда я следовал строгим рекомендациям пункта 2 Прил-я 2, то прога выругалась следующими словами:
"Ошибка карантина файла "virusinfo_syscure.zip", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\virusinfo_syscure.zip", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка..."
ну и так далее по всему списку.
Тогда я открыл карантин ,и обнаружил там это: C:\WINDOWS\DOWNLO~1\CnsMin.dll
Именно это я и заархивировал. Здесь наверное где-то и скрывается мой косячок

[Кто?]

Полученные логи нужно прикрепитьк сообщению! Нажмите "Ответ", напишите сообщение, нажмите "управление вложениями", там уже вообще всё просто. Обратите внимание, что приложить нужно только файлы: virusinfo_syscheck.zip , virusinfo_syscure.zip , hijackthis.log

[NDA]

Спасибо.
Вроде получилось

[Кто?]

Пока выполните скрипт: (AVZ--> файл--> выполнить скрипт--> скопировать код , вставить и нажать "выполнить"):

Код:

begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll','');
 QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL','');
 QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe','');
 QuarantineFile('sysfldr.dll','');
 QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL','');
 QuarantineFile('C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL','');
BC_ImportQuarantineList;
 BC_Activate;
RebootWindows(true);
end.

После перезагрузки полученый карантин прислать по Приложению 3 Правил (ссылка на загрузку наверху темы, номер темы 8763)

[PavelA]

c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.

[NDA]

Пока выполните скрипт: (AVZ--> файл--> выполнить скрипт--> скопировать код , ...После перезагрузки полученый карантин прислать по Приложению 3 Правил (ссылка на загрузку наверху темы, номер темы 8763)

Попробовал...
В протоколе выдает : Ошибка скрипта: ')' expected, позиция [4:17]
Опять что-то не то делаю? Но вроде все правильно.

[pig]

Поправил скрипт, теперь не должна ругаться.

[NDA]

c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.

Я не смог найти. Возможно я неправильно делал. А сделал я следующее:
запустил програму, стартанул "выполнить лечение" с копированием подозрительного в карантин. Потом открыл просмотр протокола найденных объектов и посмотрел список. Такого там не обнаружил.

[NDA]

Поправил скрипт, теперь не должна ругаться.

Попробовал, теперь ругается так:
Ошибка скрипта: ';' expected, позиция [11:1]

[pig]

Ещё раз поправил.

[NDA]

Ещё раз поправил.

на этот раз прошло.
Отправил все. Заархивировал все что там было без разбора.
Но по-моему после этой процедуры карантин не изменился.

[Кто?]

Сразу прошу прощения за рваный скрипт.

Контрольные выстрелы были в трупы?
Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.

Найдите всё-таки (AVZ --> Сервис --> Поиск файлов на диске --> вставьте нужное в окно справа наверху имя файла или маску) то, что просил PavelA в посте #12.
Отметьте галочкой и нажмите добавить в карантин. Карантин пришлите.

Просканируйте ещё раз в HijackThis, поставьте галочки на строчках:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (file missing)
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
Нажмите "Fix Checked"

[NDA]

Сразу прошу прощения за рваный скрипт.
Контрольные выстрелы были в трупы?
Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.

Cпасибо, попробую вечером, когда доберусь до своего компа, выполнить все рекомендации.