АЛЕКС20 Posted July 24, 2008 Report Share Posted July 24, 2008 Тема знакома на форуме. Прошу проверить ЛОГи. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
akoK Posted July 25, 2008 Report Share Posted July 25, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');QuarantineFile('C:\WINDOWS\Downloaded Program Files\SearchEngineQuery.dll','');QuarantineFile('C:\WINDOWS\system32\webcheck.dll','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\FlyPCI.sys','');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL');DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('C:\WINDOWS\system32\amvo1.dll');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPFO4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exeO8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm674YYUAO9 - Extra button: (no name) - DctMapping - (no file)O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/PopularScreenSavers FWBInitialSetup1.0.1.0.exe Повторите логи. Link to comment Share on other sites More sharing options...
АЛЕКС20 Posted July 25, 2008 Author Report Share Posted July 25, 2008 ОГРОМНОЕ спасибо за помощь!!! Всё отлично вылечилось. К сожалению в виду моей собственной невнимательности не сохранился LOG. :blush2: . В общем хочу выразить благодарность всем жителям СофтФорума, узнал очень много полезных вещей, и всё таки, если кто то знает как уберечся от заразы с флешки (уверен именно таким способом я её получил) прошу подсказать или дать ссылку. Буду очень признателен. Потому как есть ещё комп дочки, брата и т.д которые наверняка придётся то же чистить. А по сему до скорых встреч с уважением к жителям Алекс. Прилагаю последние LOGи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
akoK Posted July 25, 2008 Report Share Posted July 25, 2008 (edited) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\shdocvw.dll');BC_ImportDeletedList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Тут много полезной информации Автозапуск на устройствах Edited July 25, 2008 by akoK Link to comment Share on other sites More sharing options...
АЛЕКС20 Posted July 26, 2008 Author Report Share Posted July 26, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\shdocvw.dll');BC_ImportDeletedList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Тут много полезной информации Автозапуск на устройствах Благодарю за оперативность. Но в резултате выполнения скрипта explorer забастовал, пришлось восстановить 'C:\WINDOWS\system32\shdocvw.dll' Link to comment Share on other sites More sharing options...
akoK Posted July 26, 2008 Report Share Posted July 26, 2008 хмм.... пришлите мне его на анализ....был уверен, что зловред akok<at>pisem.net с указанной ссылкой на тему. (at=@)? установите пароль на архив virus Link to comment Share on other sites More sharing options...
АЛЕКС20 Posted July 27, 2008 Author Report Share Posted July 27, 2008 Хочу представить вашему вниманию LOGи с компа дочери. По возможности прошу проанализировать. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
ser208 Posted July 27, 2008 Report Share Posted July 27, 2008 Хочу представить вашему вниманию LOGи с компа дочери. На этом компьютере картина получше. Link to comment Share on other sites More sharing options...
АЛЕКС20 Posted July 27, 2008 Author Report Share Posted July 27, 2008 Может быть и лучше, учитывая что учитывая приобретённый опыт я немного его подчистил, но прблема то осталась!!! Link to comment Share on other sites More sharing options...
akoK Posted July 27, 2008 Report Share Posted July 27, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');QuarantineFile('c:\windows\system32\wuauserv.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) А в чем выражаются проблемы? C:\WINDOWS\system32\shdocvw.dll - чист Link to comment Share on other sites More sharing options...
ser208 Posted July 27, 2008 Report Share Posted July 27, 2008 (edited) Может быть и лучше, учитывая что учитывая приобретённый опыт я немного его подчистил... Остается надежда, что не скриптами для предыдущего компьютера. Если не показываются скрытые файлы, то может помочь такой *.reg файл. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]"Text"="@shell32.dll,-30499""Type"="group""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00"HelpID"="shell.hlp#51131"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105" Ссылка на готовый файл. Edited July 27, 2008 by ser208 Link to comment Share on other sites More sharing options...
АЛЕКС20 Posted July 27, 2008 Author Report Share Posted July 27, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');QuarantineFile('c:\windows\system32\wuauserv.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) А в чем выражаются проблемы? C:\WINDOWS\system32\shdocvw.dll - чист Проблема та же, не видать скрытых файлов. После выполнения скрипта ничего не изменилось. Может быть в реестре запрет? Знать бы где!!! LOG прилагается, карантин отсылается Отдельная благодарность за приятные новости (shdocvw.dll - чист) hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Link to comment Share on other sites More sharing options...
ser208 Posted July 27, 2008 Report Share Posted July 27, 2008 (edited) После выполнения скрипта ничего не изменилось. Скрипт и не менял ничего. Он только помещал в карантин подозрительные файлы. Может быть в реестре запрет? Знать бы где!!! Изменения в реестре для показа скрытых файлов постом выше. Edited July 27, 2008 by ser208 Link to comment Share on other sites More sharing options...
АЛЕКС20 Posted July 27, 2008 Author Report Share Posted July 27, 2008 Остается надежда, что не скриптами для предыдущего компьютера. Если не показываются скрытые файлы, то может помочь такой *.reg файл. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]"Text"="@shell32.dll,-30499""Type"="group""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00"HelpID"="shell.hlp#51131"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105" Ссылка на готовый файл. Это шутка? Конечно нет! Хотя изучение самих скриптов сделанных умными людьми даёт почву к размышлению и обучению Благодарю за исходник, проверю завтра. О результатах доложу. Link to comment Share on other sites More sharing options...
ser208 Posted July 28, 2008 Report Share Posted July 28, 2008 (edited) Это шутка? Воспользуйся ссылкой на готовый файл. Запустишь, согласишься с изменениями в реестре. Должно заработать. Edited July 28, 2008 by ser208 Link to comment Share on other sites More sharing options...
akoK Posted July 28, 2008 Report Share Posted July 28, 2008 Проверил карантин....чисто. Link to comment Share on other sites More sharing options...
АЛЕКС20 Posted July 28, 2008 Author Report Share Posted July 28, 2008 Воспользуйся ссылкой на готовый файл. Запустишь, согласишься с изменениями в реестре. Должно заработать. Я и не сомневался в вашем професионализме, всё действительно заработало! Как говорится "дело было не в бобине..." :D Проверил карантин....чисто. Большое спасибо!!! Проблема уже решена. Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now