Trojan-Downloader.JS.Tabletka.a

[ТроПа]

Можно попробывать деинсталировать COMODO и попытаться выполнить стандартный скрипт 3.

[Tatyana]

Можно попробывать деинсталировать COMODO и попытаться выполнить стандартный скрипт 3.

Мне бы не хотелось ее удалять, потому что я проверила сейчас у них на сайте, и там нет той версии, которая у меня (а я по глупости удалила загрузочный файл). Там теперь файерволл+антивирус, а у меня только файерволл. Я даже скрины сверила. Еще будет потом с Касперским ругаться. Я добавила AVZ в доверенную зону COMODO, и все равно не помогло. Почему же она всюду свой нос сует.

А еще есть подозрение, что что-то осталось?

Изменено 4 декабря, 2008 пользователем Tatyana

[Alexey_I]

Удалите Bonjour Service см. здесь

AskSBar также деинсталлируйте (c:\program files\AskSBar) и Easy SpyRemover, удалите папку c:\program files\Easy SpyRemover\

проверьте на virustotal.com

c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe

c:\windows\system32\qweasdf.dat

c:\documents and settings\Tatjana\Application Data\ezpinst.exe

c:\documents and settings\All Users\Application Data\PKP_DLec.DAT

Очистите временные файлы с помощью ATF Cleaner и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска

Сохраните текст ниже как fix.reg и примените

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{75b6fa83-ede5-11db-9e66-806d6172696f}]

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
DeleteService('jswmidin');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('jswmidin');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

На время работы утилит отключите защитное программное обеспечение (AVP, Comodo, Lavasoft Ad-Aware и пр.)

[Tatyana]

проверьте на virustotal.com

Сохраните текст ниже как fix.reg и примените

Эти пункты я не поняла.

[sergio342]

Открываете сайт http://www.virustotal.com/ru/ Обзор-загружаете эти файлы, потом копируете с адресной строки ссылки отчета после анализа.

Скачайте готовый файл и запустите fix.reg:

fix.zip

[Alexey_I]

http://www.virustotal.com/ru/ - кнопка "обзор" (включите предварительно показ скрытых файлов или предварительно поищите файлы с помощью FAR Manager или AVZ - сервис - поиск файлов), найдите файлы, поочередно отправляете на анализ, результат проверки или ссылку на неё скопируйте в сообщение.

Также как скрипт копируете текст, выделить мышкой, скопировать - вставить в блокнот, сохраните файл с названием fix.reg, примениет - в проводнике нажимаете мышкой на файл или правой кн. мыши - слияние, нажимаете "да" если спросит, или воспользоваться прикрепленным sergio342 файлом (распаковать предварительно)

Изменено 4 декабря, 2008 пользователем Alexey_I

[Tatyana]

QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');

DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');

Меня еще терзают смутные сомнения. По-моему, я уже удаляла этот файл скриптом, который мне давали раньше. Мне столько людей помогает, что я запуталась. Жду, что скажут wise-wistful или akoK.

 

На странице 4 akoK мне дал такой скрипт, и я его уже выполнила.

 

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('jswmidin', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
DeleteService('jswmidin');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

 

Неужели в последний скриптах этот файл опять есть?

[sergio342]

У Alexey_I статус Helper на официальном форуме ЛК - плохого не должен посоветовать .

[akoK]

Это я попросил посмореть Alexey_I, данную тему.

[Tatyana]

Т.е. мне нужно будет и этот скрипт сделать еще раз?

[MedvedevUnited]

Сделайте, хуже не будет.

[Alexey_I]

Сорри, только сейчас посмотрел на 4-ю стр. и скрипт

Ориентировался на новые логи, предыдущая стр., скрипт получился тот-же или это логи те же были или comodo и всё прочее из защитного софта просто не дали AVZ отработать. Рез-ты проверки на virustotal неплохо бы увидеть и логи от RSIT и OTViewit

Изменено 4 декабря, 2008 пользователем Alexey_I

[Tatyana]

Рез-ты проверки на virustotal неплохо бы увидеть и логи от RSIT и OTViewit

Тогда я сделаю все, кроме скрипта и выложу, но сейчас я убегаю. Все сделаю вечером. Большое спасибо за помощь!

[Alexey_I]

Без проблем, выполнение скрипта тоже проведите, не забудьте отключить защитное ПО.

[Tatyana]

Без проблем, выполнение скрипта тоже проведите, не забудьте отключить защитное ПО.

Я всегда отключаю. Но COMODO почему-то срабатывает, даже будучи отключенным.

 

Я удалила Bonjour с помощью скрипта для AVZ. Захожу в «Панель управления» -> «Установка и удаление программ», и вижу этот Bonjour там. Папка “Bonjour” в “Program Files” тоже осталась, и там два документа: “About Bonjour.rtf” и “mdnsNSP.dll”. Что с ними делать?

И еще насчет AskSBar хочу уточнить. Я такого не нашла, нашла “Ask Toolbar” в «Панели управления» -> «Установка и удаление программ». А в “Program Files” есть папка AskSBar”. Это одно и то же?

А “Easy SpyRemover” я в «Панели управления» не нашла. Как его тогда удалить?