-
Junior Member
- Вес репутации
- 63
кража номера ICQ
Добрый день.
Все началось с того, что у меня вчера упёрли мой номер аськи. То что сперли , это потом мне объяснилли добрые дюди. Кстати воры выходят на связь с моими контрагентами из контакт листа и просят в долг деньги!!!
Мне хоть и жаль мой номер (я регился почти 8 лет назад) но дело не в этом. Я зарегестрировался заново. Но стоило мне отключитьсz на 10 мин., как у мени увели и этот новый номер.
Я проверился каспером - он ничего не нашел. По совету приятеля я проверился вашим антивирусом. Он пишет неприятные вещи, но ничего не трогает. Вот например:
7. Эвристичеcкая проверка системы
>>> C:\WINDOWS\DOWNLO~1\CnsMin.dll ЭПС: подозрение на Spy.CnsMin (высокая степень вероятности)
Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll"
При этом в в протоколе остались висеть пару десятков файлов "Перехватчиков KernelMode", один - "подозрение на Keylogger или троянскую DLL", и один - "ЭПС: подозрение на Spy.CnsMin", это не считая файлов антивируса Каспера.
Я - юзер совсем слабый, и мне не понятно, что со всем этим делать.
Буду благодарен за дельные советы.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Junior Member
- Вес репутации
- 63
Думаю, следует добавить, что возможно вирус был подцеплен при попытке открыть открытку, пришедшую на мыло, кем нибудь из моих домашних.
-
Нужны логи в соответствии с правилами. Внимательно прочитайте правила и сделайте пожалуйста логи.
-
-
Junior Member
- Вес репутации
- 63
В п.7 правил написано:
7. Отключите восстановление системы (Windows Me/XP).
Подскажите плз, как это сделать
-
смотрите далее в правилах Приложение 1
-
-
Junior Member
- Вес репутации
- 63
Cпасибо за подсказки
Вроде все выполнил и выслал. Получил подтверждение, что выслал успешно, но не вижу появления изображения. Опять где-то лажанулся?
-
Нужно прикрепить к теме логи AVZ и HijackThis (п.8-12 правил).
-
-
Junior Member
- Вес репутации
- 63
я пытался, но меня "обматерили". Принят к пересылки только один зазипованный файл, который был получен посредством приложения 2. Но вот правильность этой операции меня смущает, потому, как когда я следовал строгим рекомендациям пункта 2 Прил-я 2, то прога выругалась следующими словами:
"Ошибка карантина файла "virusinfo_syscure.zip", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка
Ошибка карантина файла "C:\WINDOWS\virusinfo_syscure.zip", попытка прямого чтения
Карантин с использованием прямого чтения - ошибка..."
ну и так далее по всему списку.
Тогда я открыл карантин ,и обнаружил там это: C:\WINDOWS\DOWNLO~1\CnsMin.dll
Именно это я и заархивировал. Здесь наверное где-то и скрывается мой косячок
-
Полученные логи нужно прикрепитьк сообщению! Нажмите "Ответ", напишите сообщение, нажмите "управление вложениями", там уже вообще всё просто. Обратите внимание, что приложить нужно только файлы: virusinfo_syscheck.zip , virusinfo_syscure.zip , hijackthis.log
-
-
Junior Member
- Вес репутации
- 63
Спасибо.
Вроде получилось
Последний раз редактировалось NDA; 05.04.2007 в 22:44.
-
Пока выполните скрипт: (AVZ--> файл--> выполнить скрипт--> скопировать код , вставить и нажать "выполнить"):
Код:
begin
ClearQuarantine;
SetAVZGuardStatus(True);
SearchRootkit(true, true);
QuarantineFile('C:\WINDOWS\DOWNLO~1\CnsMin.dll','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL','');
QuarantineFile('C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe','');
QuarantineFile('sysfldr.dll','');
QuarantineFile('C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL','');
QuarantineFile('C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
После перезагрузки полученый карантин прислать по Приложению 3 Правил (ссылка на загрузку наверху темы, номер темы 8763)
Последний раз редактировалось Кто?; 03.04.2007 в 05:46.
Причина: Добавил Clear
-
-
c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Кто?
Пока выполните скрипт: (AVZ--> файл--> выполнить скрипт--> скопировать код , ...После перезагрузки полученый карантин прислать по Приложению 3 Правил (ссылка на загрузку наверху темы, номер темы 8763)
Попробовал...
В протоколе выдает : Ошибка скрипта: ')' expected, позиция [4:17]
Опять что-то не то делаю? Но вроде все правильно.
-
Поправил скрипт, теперь не должна ругаться.
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
PavelA
c:\windows\system32\oodag.exe - не понятно, зачем дефрагментатор лезет в сеть.
Поищи его в AVZ. Добавить в карантин и прислать сюда.
Я не смог найти. Возможно я неправильно делал. А сделал я следующее:
запустил програму, стартанул "выполнить лечение" с копированием подозрительного в карантин. Потом открыл просмотр протокола найденных объектов и посмотрел список. Такого там не обнаружил.
-
Junior Member
- Вес репутации
- 63
Сообщение от
pig
Поправил скрипт, теперь не должна ругаться.
Попробовал, теперь ругается так:
Ошибка скрипта: ';' expected, позиция [11:1]
-
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
pig
Ещё раз поправил.
на этот раз прошло.
Отправил все. Заархивировал все что там было без разбора.
Но по-моему после этой процедуры карантин не изменился.
-
Сразу прошу прощения за рваный скрипт.
Контрольные выстрелы были в трупы?
Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.
Найдите всё-таки (AVZ --> Сервис --> Поиск файлов на диске --> вставьте нужное в окно справа наверху имя файла или маску) то, что просил PavelA в посте #12.
Отметьте галочкой и нажмите добавить в карантин. Карантин пришлите.
Просканируйте ещё раз в HijackThis, поставьте галочки на строчках:
R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: MyWebSearch Search Assistant BHO - {00A6FAF1-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\3.bin\MWSSRCAS.DLL (file missing)
O2 - BHO: mwsBar BHO - {07B18EA1-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (file missing)
O3 - Toolbar: My &Web Search - {07B18EA9-A523-4961-B6BB-170DE4475CCA} - C:\Program Files\MyWebSearch\bar\3.bin\MWSBAR.DLL (file missing)
O4 - HKLM\..\Run: [My Web Search Bar] rundll32 C:\PROGRA~1\MYWEBS~1\bar\3.bin\MWSBAR.DLL,S
O4 - HKLM\..\Run: [MyWebSearch Email Plugin] C:\PROGRA~1\MYWEBS~1\bar\3.bin\mwsoemon.exe
O20 - Winlogon Notify: sysfldr - sysfldr.dll (file missing)
Нажмите "Fix Checked"
Последний раз редактировалось pig; 03.04.2007 в 18:29.
Причина: Чуть почистил
-
-
Junior Member
- Вес репутации
- 63
Сообщение от
Кто?
Сразу прошу прощения за рваный скрипт.
Контрольные выстрелы были в трупы?
Отключитесь от интернета, отключите защиту KIS, выполните ещё раз скрипт. Пришлите карантин.
Cпасибо, попробую вечером, когда доберусь до своего компа, выполнить все рекомендации.