Trojan-Downloader.JS.Tabletka.a

[Alexey_I]

  Tatyana сказал:

После удаления "Bonjour" у меня не сразу открывается интернет

По ссылке здесь в инструкции написано

 

  Цитата

2. Далее качаем мега полезную утилиту LSP-fix. Открываем, ставим галочку напротив «I know what i`m doing…». В нижней части окна видим список из нескольких файлов. Выделяем mdnsnsp.dll и перемещаем его в правую сторону – для этого нажимаем кнопку «>>». После нажимаем «Finish>>», перезагружаемся.

Вы это делали? Если нет - сделайте.

  Tatyana сказал:

в ней пустая папка "SrchAstt". Можно удалить?

Можно.

Странно, что c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe не нашлось, в меню пуск-все программы - автозагрузка есть что нибудь? Можете ещё поискать в C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe и c:\windows\pss\msn_0801_upd102045.exe

Если нет или не найдется, скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe
c:\windows\pss\msn_0801_upd102045.exe

Folder::
c:\program files\AskSBar
c:\program files\Easy SpyRemover
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{75b6fa83-ede5-11db-9e66-806d6172696f}]
FileLook::
c:\windows\system32\qweasdf.dat
c:\documents and settings\Tatjana\Application Data\ezpinst.exe
c:\documents and settings\All Users\Application Data\PKP_DLec.DAT

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение

 

Коме этих файлов придраться больше не к чему, файлы вероятно чистые, на всякий случай можете запаковать их с паролем virus и отправить на newvirus@kaspersky.com

Правда нет ещё нового лога AVZ после скрипта...

Проблемы какие наблюдаются?

зы. Вместо RSIT можете сделать логи OTViewIt. Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

Изменено 5 декабря, 2008 пользователем Alexey_I

[Tatyana]

  Alexey_I сказал:

Странно, что c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe не нашлось, в меню пуск-все программы - автозагрузка есть что нибудь? Можете ещё поискать в C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe и c:\windows\pss\msn_0801_upd102045.exe

Его нет нигде на диске C. Я искала его программой AVZ на всем диске. Буду выполнять дальнейшие шаги.

 

  Alexey_I сказал:

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

На пиктограмму это куда?

 

  Alexey_I сказал:

Правда нет ещё нового лога AVZ после скрипта...

Проблемы какие наблюдаются?

Сейчас попробую.

[MedvedevUnited]

На пиктограмму - т.е. на значек программы ComboFix (прямо на файл программы).

[Tatyana]

  Alexey_I сказал:

Коме этих файлов придраться больше не к чему, файлы вероятно чистые, на всякий случай можете запаковать их с паролем virus и отправить на newvirus@kaspersky.com

Еще вчера отправила.

  Alexey_I сказал:

Правда нет ещё нового лога AVZ после скрипта...

Проблемы какие наблюдаются?

Все те же: не обновить программу, не выполнить стандартный скрипт №3.

  Alexey_I сказал:

в меню пуск-все программы - автозагрузка есть что нибудь?

Да. Там такие:

Remote

NkbMonitor.exe

Total Commander

WinCinema Manager

  MedvedevUnited сказал:

На пиктограмму - т.е. на значек программы ComboFix (прямо на файл программы).

О.К. Теперь поняла.

 

  Alexey_I сказал:

Вы это делали? Если нет - сделайте.

Сделала, но в папке "Bonjour" этот "mdnsNSP.dll" остался.

 

Все сделала. Третий скрипт AVZ, как всегда, не получился. Сделала второй (это новый, и если он один в один с предыдущими, то я не знаю, в чем дело - и Каспер, и COMODO отключены).

 

И еще одна вещь мне непонятна: у меня после сканирования ComboFix уже второй раз на раб. столе очутилось 2 ярлыка IE, а до этого был один.

 

Мне ответили по поводу тех трех файлов, которые я вчера отправила на newvirus@kaspersky.com. Там не нашли ничего вредоносного.

virusinfo_syscheck.zipПолучение информации...

ComboFix.rarПолучение информации...

OTViewIt.rarПолучение информации...

Extras.rarПолучение информации...

Изменено 5 декабря, 2008 пользователем Tatyana

[Alexey_I]

  Цитата

Сделала, но в папке "Bonjour" этот "mdnsNSP.dll" остался

Если вручную не удаляли, то конечно остался, с помощью LSP-fix файл mdnsNSP.dll удалить можно только из настроек SPI/LSP, проще из реестра, если его оттуда не удалить, но удалить с диска mdnsNSP.dll. то интернет может перестать работать.

стандартный скрипт №3 у вас может не выполнятся из за того же comodo или антивируса, возможно есть конфликты между ними, вероятно по той же причине не обновляется программа. Попробуйте удалить comodo и переустановить антивирус, comodo можете потом снова установить (если очень захочется), скачав здесь новую версию.

По логам OTViewit и AVZ ничего плохого, msn_0801_upd102045.exe по логам OTViewit также нет, если файлы, отправленные в вирлаб окажутся чистыми то, зловредов нет.

Изменено 5 декабря, 2008 пользователем Alexey_I

[Tatyana]

  Alexey_I сказал:

По логам OTViewit и AVZ ничего плохого, msn_0801_upd102045.exe по логам OTViewit также нет, если файлы, отправленные в вирлаб окажутся чистыми то, зловредов нет.

Мне ответили, что ничего вредоносного в этих файлах нет. Я тогда не буду переустанавливать COMODO. У меня только файерволл, а по ссылке файерволл+антивирус. Я боюсь, что тогда точно будут конфликты с Касперским. Если все чисто, то это радует. Большое всем спасибо за помощь!

 

  Alexey_I сказал:

Если вручную не удаляли, то конечно остался, с помощью LSP-fix удалить можно только из настроек SPI/LSP, проще из реестра )

Т.е. теперь надо удалить саму папку вручную?

[Alexey_I]

  Tatyana сказал:

Т.е. теперь надо удалить саму папку вручную?

Можно только в том случае, если удалили с помощью LSP-Fix mdnsNSP.dll из настроек SPI/LSP

имхо, движок антивируса в comodo можно отключить, но и без него возможны конфликты, антивирус лучше переустановите, у вас по логам есть ошибки, связанные с avp.exe

  Цитата

Error - 05.12.2008 5:47:08 | Computer Name = TATA | Source = Application Error | ID = 1000

Description = Ошибка приложения avz.exe, версия 4.28.0.66, модуль avz.exe, версия

4.28.0.66, адрес 0x00002254.

[Tatyana]

  Alexey_I сказал:

Можно только в том случае, если удалили с помощью LSP-Fix mdnsNSP.dll из настроек SPI/LSP

Удалила.

  Alexey_I сказал:

антивирус лучше переустановите, у вас по логам есть ошибки, связанные с avp.exe

Эх. Ясно. Придется тогда переустанавливать. Может быть, проблемы с Windows Uninstaller связаны именно из-за ошибки с avp.exe. Я пыталась уже удалить Касперского, не не получилось. Попробую через "Панель управления". А ключ ведь будет действителен после переустановки?

 

И еще с тех пор как началась вся эта история с вирусом, у меня сильно упала скорость скачивания с файлообменников и заливки на них. Что может быть причиной? Или лучше у провайдера спросить?

Изменено 5 декабря, 2008 пользователем Tatyana

[Alexey_I]

  Tatyana сказал:

проблемы с Windows Uninstaller

Какие? Антивирус (и все остальные программы) желательно удалять через панель управления, после удаления ещё можете воспользоваться утилитой KAVremover9.zip см. здесь, если сборка у вас старая, рекомендую скачать и установить новую, ключ должен работать, уже предлагали в 29 посте

проблема со скоростью ещё существует? м.б. связано с провайдером, а может снова с комодо и avp Все таки рекомендую комодо удалить, вместо него временно включить встроенный брандмауэр windows и протестировать в такой конфигурации.

[Tatyana]

  Alexey_I сказал:

Какие?

Не удалялся антивирус. Тоже какая-то ошибка выскакивала. Я где-то здесь писала.

  Alexey_I сказал:

после удаления ещё можете воспользоваться утилитой KAVremover9.zip

А можно ей сразу удалить без "Панали управления"?

  Alexey_I сказал:

проблема со скоростью ещё существует?

Есть, но не везде. Наверное, это что-то на серверах самих файлообменников все же.

  Alexey_I сказал:

Все таки рекомендую комодо удалить

Честно говоря, не хотелось бы. Уж больно проблемно его было настраивать.

[MedvedevUnited]

Удалять KAV сразу remover'ом крайне нежелательно.

[Tatyana]

  MedvedevUnited сказал:

Удалять KAV сразу remover'ом крайне нежелательно.

О.К. Попробую удалить тогда через "Панель управления". Я просто боюсь, что потом утилита остатков KAV не найдет. Но если должна, то попробую.

[MedvedevUnited]

Попробуйте. А если не найдет, значит ничего не осталось

Изменено 5 декабря, 2008 пользователем MedvedevUnited

[Alexey_I]

  Tatyana сказал:

Не удалялся антивирус. Тоже какая-то ошибка выскакивала.

Какая ошибка? Если " Нет доступа к службе установки Windows"

Сохраните текст ниже как fixmsi.reg и примените.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer]
"Description"="Позволяет добавлять, изменять и удалять приложения, предоставленные пакетом Windows Installer (*.msi). Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены."
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,0
0,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,73,00,69,00,65,00,78,00,65,00,
6
3,00,2e,00,65,00,78,00,65,00,20,00,2f,00,56,00,00,00,00,00
"DisplayName"="Windows Installer"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,0
0,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,
0
4,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,
0
0,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,
0
2,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,
0
0,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,
0
0,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Enum]
"0"="Root\\LEGACY_MSISERVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Можете попробовать установить Windows Installer 4.5

или Пуск --> Выполнить: msiexec /unregister , затем msiexec /regserver

А другие программы нормально удаляются? Если что, можно будет драйвера от KAV скриптом AVZ зачистить

[MedvedevUnited]

Ошибка здесь: http://forum.kasperskyclub.ru/index.php?s=...ost&p=68992

Перерегистрацию пробовали уже, не помогло. Правда, не знаю, отрабатывались ли остальные данные рекомендации.

У меня вопрос: Windows Installer 4.5 разве для XP подойдет?