АЛЕКС20 Опубликовано 24 июля, 2008 Жалоба Поделиться Опубликовано 24 июля, 2008 Тема знакома на форуме. Прошу проверить ЛОГи. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 25 июля, 2008 Жалоба Поделиться Опубликовано 25 июля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\amvo1.dll','');QuarantineFile('C:\WINDOWS\system32\amvo0.dll','');QuarantineFile('C:\WINDOWS\system32\shdocvw.dll','');QuarantineFile('C:\WINDOWS\Downloaded Program Files\SearchEngineQuery.dll','');QuarantineFile('C:\WINDOWS\system32\webcheck.dll','');QuarantineFile('C:\WINDOWS\system32\amvo.exe','');QuarantineFile('C:\WINDOWS\system32\drivers\FlyPCI.sys','');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL');DeleteFile('C:\PROGRA~1\MYWEBS~1\bar\1.bin\mwsoemon.exe');DeleteFile('C:\WINDOWS\system32\amvo.exe');DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\F3POPSWT.DLL');DeleteFile('C:\Program Files\MyWebSearch\bar\1.bin\M3OUTLCN.DLL');DeleteFile('C:\WINDOWS\system32\amvo0.dll');DeleteFile('C:\WINDOWS\system32\amvo1.dll');BC_ImportALL;ExecuteRepair(6);ExecuteRepair(8);BC_Activate;ExecuteSysClean;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) Пофиксить в HijackThis следующие строчки R3 - URLSearchHook: (no name) - {00A6FAF6-072E-44cf-8957-5838F569A31D} - C:\Program Files\MyWebSearch\SrchAstt\1.bin\MWSSRCAS.DLL (file missing)F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exeO4 - HKLM\..\Run: [MyWebSearch Plugin] rundll32 C:\PROGRA~1\MYWEBS~1\bar\1.bin\M3PLUGIN.DLL,UPFO4 - HKCU\..\Run: [amva] C:\WINDOWS\system32\amvo.exeO8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZRxdm674YYUAO9 - Extra button: (no name) - DctMapping - (no file)O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.exe.imgfarm.com/images/nocache/funwebproducts/ei-3/PopularScreenSavers FWBInitialSetup1.0.1.0.exe Повторите логи. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
АЛЕКС20 Опубликовано 25 июля, 2008 Автор Жалоба Поделиться Опубликовано 25 июля, 2008 ОГРОМНОЕ спасибо за помощь!!! Всё отлично вылечилось. К сожалению в виду моей собственной невнимательности не сохранился LOG. :blush2: . В общем хочу выразить благодарность всем жителям СофтФорума, узнал очень много полезных вещей, и всё таки, если кто то знает как уберечся от заразы с флешки (уверен именно таким способом я её получил) прошу подсказать или дать ссылку. Буду очень признателен. Потому как есть ещё комп дочки, брата и т.д которые наверняка придётся то же чистить. А по сему до скорых встреч с уважением к жителям Алекс. Прилагаю последние LOGи hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 25 июля, 2008 Жалоба Поделиться Опубликовано 25 июля, 2008 (изменено) AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\shdocvw.dll');BC_ImportDeletedList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Тут много полезной информации Автозапуск на устройствах Изменено 25 июля, 2008 пользователем akoK Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
АЛЕКС20 Опубликовано 26 июля, 2008 Автор Жалоба Поделиться Опубликовано 26 июля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);DeleteFile('C:\WINDOWS\system32\shdocvw.dll');BC_ImportDeletedList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. Тут много полезной информации Автозапуск на устройствах Благодарю за оперативность. Но в резултате выполнения скрипта explorer забастовал, пришлось восстановить 'C:\WINDOWS\system32\shdocvw.dll' Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 26 июля, 2008 Жалоба Поделиться Опубликовано 26 июля, 2008 хмм.... пришлите мне его на анализ....был уверен, что зловред akok<at>pisem.net с указанной ссылкой на тему. (at=@)? установите пароль на архив virus Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
АЛЕКС20 Опубликовано 27 июля, 2008 Автор Жалоба Поделиться Опубликовано 27 июля, 2008 Хочу представить вашему вниманию LOGи с компа дочери. По возможности прошу проанализировать. hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 июля, 2008 Жалоба Поделиться Опубликовано 27 июля, 2008 Хочу представить вашему вниманию LOGи с компа дочери. На этом компьютере картина получше. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
АЛЕКС20 Опубликовано 27 июля, 2008 Автор Жалоба Поделиться Опубликовано 27 июля, 2008 Может быть и лучше, учитывая что учитывая приобретённый опыт я немного его подчистил, но прблема то осталась!!! Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 27 июля, 2008 Жалоба Поделиться Опубликовано 27 июля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');QuarantineFile('c:\windows\system32\wuauserv.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) А в чем выражаются проблемы? C:\WINDOWS\system32\shdocvw.dll - чист Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 июля, 2008 Жалоба Поделиться Опубликовано 27 июля, 2008 (изменено) Может быть и лучше, учитывая что учитывая приобретённый опыт я немного его подчистил... Остается надежда, что не скриптами для предыдущего компьютера. Если не показываются скрытые файлы, то может помочь такой *.reg файл. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]"Text"="@shell32.dll,-30499""Type"="group""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00"HelpID"="shell.hlp#51131"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105" Ссылка на готовый файл. Изменено 27 июля, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
АЛЕКС20 Опубликовано 27 июля, 2008 Автор Жалоба Поделиться Опубликовано 27 июля, 2008 AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить". beginSearchRootkit(true, true);SetAVZGuardStatus(true);QuarantineFile('C:\WINDOWS\system32\TaskSwitch.exe','');QuarantineFile('c:\windows\system32\wuauserv.dll','');BC_ImportQuarantineList;BC_Activate;RebootWindows(true);end. После выполнения скрипта компьютер перезагрузится. beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end. Полученный архив отправьте на akok<at>pisem.net с указанной ссылкой на тему. (at=@) А в чем выражаются проблемы? C:\WINDOWS\system32\shdocvw.dll - чист Проблема та же, не видать скрытых файлов. После выполнения скрипта ничего не изменилось. Может быть в реестре запрет? Знать бы где!!! LOG прилагается, карантин отсылается Отдельная благодарность за приятные новости (shdocvw.dll - чист) hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log virusinfo_syscheck.zip virusinfo_syscure.zip Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 27 июля, 2008 Жалоба Поделиться Опубликовано 27 июля, 2008 (изменено) После выполнения скрипта ничего не изменилось. Скрипт и не менял ничего. Он только помещал в карантин подозрительные файлы. Может быть в реестре запрет? Знать бы где!!! Изменения в реестре для показа скрытых файлов постом выше. Изменено 27 июля, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
АЛЕКС20 Опубликовано 27 июля, 2008 Автор Жалоба Поделиться Опубликовано 27 июля, 2008 Остается надежда, что не скриптами для предыдущего компьютера. Если не показываются скрытые файлы, то может помочь такой *.reg файл. Windows Registry Editor Version 5.00[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden]"Text"="@shell32.dll,-30499""Type"="group""Bitmap"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,74,\ 00,25,00,5c,00,73,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,53,00,\ 48,00,45,00,4c,00,4c,00,33,00,32,00,2e,00,64,00,6c,00,6c,00,2c,00,34,00,00,\ 00"HelpID"="shell.hlp#51131"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\NOHIDDEN]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30501""Type"="radio""CheckedValue"=dword:00000002"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51104"[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]"RegPath"="Software\\Microsoft\\Windows\\CurrentVersion\\Explorer\\Advanced""Text"="@shell32.dll,-30500""Type"="radio""CheckedValue"=dword:00000001"ValueName"="Hidden""DefaultValue"=dword:00000002"HKeyRoot"=dword:80000001"HelpID"="shell.hlp#51105" Ссылка на готовый файл. Это шутка? Конечно нет! Хотя изучение самих скриптов сделанных умными людьми даёт почву к размышлению и обучению Благодарю за исходник, проверю завтра. О результатах доложу. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
ser208 Опубликовано 28 июля, 2008 Жалоба Поделиться Опубликовано 28 июля, 2008 (изменено) Это шутка? Воспользуйся ссылкой на готовый файл. Запустишь, согласишься с изменениями в реестре. Должно заработать. Изменено 28 июля, 2008 пользователем ser208 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
akoK Опубликовано 28 июля, 2008 Жалоба Поделиться Опубликовано 28 июля, 2008 Проверил карантин....чисто. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
АЛЕКС20 Опубликовано 28 июля, 2008 Автор Жалоба Поделиться Опубликовано 28 июля, 2008 Воспользуйся ссылкой на готовый файл. Запустишь, согласишься с изменениями в реестре. Должно заработать. Я и не сомневался в вашем професионализме, всё действительно заработало! Как говорится "дело было не в бобине..." :D Проверил карантин....чисто. Большое спасибо!!! Проблема уже решена. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.