Перейти к содержанию
Правила раздела
19 лет клубу! Встречаемся в офисе «Лаборатории Касперского»

Trojan-Downloader.JS.Tabletka.a

Tatyana

Автор Tatyana
в Помощь в удалении вирусов

 Поделиться

Рекомендуемые сообщения

  • Ответов 138
  • Создана
  • Последний ответ

Топ авторов темы

  • Tatyana

    60

  • MedvedevUnited

    29

  • sergio342

    13

  • akoK

    13

Популярные дни

Топ авторов темы

Популярные дни

Популярные посты

Misterio
Misterio

KAV устанавливается даже на зараженную машину. А из "ТЕМР" можно все удалить

MedvedevUnited
MedvedevUnited

Нет, это, возможно, решит проблему с Windows Installer. После этого снова попробуйте удалить KAV.

MedvedevUnited
MedvedevUnited

Я в личку отправил еще один вариант решения проблемы с Installer. Посмотрим, какой будет результат.

Изображения в теме

Tatyana

Tatyana

Опубликовано
  • Автор
Опубликовано (изменено)
Можно попробывать деинсталировать COMODO и попытаться выполнить стандартный скрипт 3.

Мне бы не хотелось ее удалять, потому что я проверила сейчас у них на сайте, и там нет той версии, которая у меня (а я по глупости удалила загрузочный файл). Там теперь файерволл+антивирус, а у меня только файерволл. Я даже скрины сверила. Еще будет потом с Касперским ругаться. Я добавила AVZ в доверенную зону COMODO, и все равно не помогло. Почему же она всюду свой нос сует. :good:

А еще есть подозрение, что что-то осталось?

Изменено пользователем Tatyana
Ссылка на комментарий
Поделиться на другие сайты
Alexey_I

Alexey_I

Опубликовано
Опубликовано

Удалите Bonjour Service см. здесь

AskSBar также деинсталлируйте (c:\program files\AskSBar) и Easy SpyRemover, удалите папку c:\program files\Easy SpyRemover\

проверьте на virustotal.com

c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe

c:\windows\system32\qweasdf.dat

c:\documents and settings\Tatjana\Application Data\ezpinst.exe

c:\documents and settings\All Users\Application Data\PKP_DLec.DAT

Очистите временные файлы с помощью ATF Cleaner и/или через Пуск-Программы-Стандартные-Служебные-Очистка диска

Сохраните текст ниже как fix.reg и примените

REGEDIT4

[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{75b6fa83-ede5-11db-9e66-806d6172696f}]

Запустите AVZ, далее в меню файл - выполнить скрипт, выделите и скопируйте текст ниже в окно выполнения скрипта AVZ, выключите антивирус, firewall и другое защитное программное обеспечение, отключите интернет (или включите временно брандмауэр windows), нажмите кнопку «Запустить».

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL','');
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('C:\Program Files\AskSBar\bar\1.bin\ASKSBAR.DLL');
DelBHO('{F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA}');
DelBHO('{F0D4B231-DA4B-4daf-81E4-DFEE4931A4AA}');
DeleteService('jswmidin');
BC_ImportDeletedList;
ExecuteSysClean;
BC_DeleteSvc('jswmidin');
BC_Activate;
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Скачайте RSIT, сохраните на рабочий стол и запустите, когда закончится процесс сканирования, запакуйте файлы log.txt и info.txt и прикрепите архив.

Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

На время работы утилит отключите защитное программное обеспечение (AVP, Comodo, Lavasoft Ad-Aware и пр.)

Ссылка на комментарий
Поделиться на другие сайты
sergio342

sergio342

Опубликовано
Опубликовано

Открываете сайт http://www.virustotal.com/ru/ Обзор-загружаете эти файлы, потом копируете с адресной строки ссылки отчета после анализа.

Скачайте готовый файл и запустите fix.reg:

fix.zip

Ссылка на комментарий
Поделиться на другие сайты
Alexey_I

Alexey_I

Опубликовано
Опубликовано (изменено)

http://www.virustotal.com/ru/ - кнопка "обзор" (включите предварительно показ скрытых файлов или предварительно поищите файлы с помощью FAR Manager или AVZ - сервис - поиск файлов), найдите файлы, поочередно отправляете на анализ, результат проверки или ссылку на неё скопируйте в сообщение.

Также как скрипт копируете текст, выделить мышкой, скопировать - вставить в блокнот, сохраните файл с названием fix.reg, примениет - в проводнике нажимаете мышкой на файл или правой кн. мыши - слияние, нажимаете "да" если спросит, или воспользоваться прикрепленным sergio342 файлом (распаковать предварительно)

Изменено пользователем Alexey_I
  • Согласен 1
Ссылка на комментарий
Поделиться на другие сайты
Tatyana

Tatyana

Опубликовано
  • Автор
Опубликовано
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');

DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');

Меня еще терзают смутные сомнения. По-моему, я уже удаляла этот файл скриптом, который мне давали раньше. Мне столько людей помогает, что я запуталась. :good: Жду, что скажут wise-wistful или akoK.

 

На странице 4 akoK мне дал такой скрипт, и я его уже выполнила.

 

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(true);
SetServiceStart('jswmidin', 4);
QuarantineFile('C:\WINDOWS\system32\Drivers\iqvw32.sys','');
QuarantineFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys','');
DeleteFile('C:\DOCUME~1\Tatjana\LOCALS~1\Temp\jswmidin.sys');
DeleteFile('C:\Program Files\AskSBar\SrchAstt\1.bin\A2SRCHAS.DLL');
DelBHO('{0579B4B1-0293-4d73-B02D-5EBB0BA0F0A2}');
DeleteService('jswmidin');
BC_ImportALL;
BC_Activate;
RebootWindows(true);
end.

 

Неужели в последний скриптах этот файл опять есть?

Ссылка на комментарий
Поделиться на другие сайты
Alexey_I

Alexey_I

Опубликовано
Опубликовано (изменено)

Сорри, только сейчас посмотрел на 4-ю стр. и скрипт :good:

Ориентировался на новые логи, предыдущая стр., скрипт получился тот-же :( или это логи те же были или comodo и всё прочее из защитного софта просто не дали AVZ отработать. Рез-ты проверки на virustotal неплохо бы увидеть и логи от RSIT и OTViewit

Изменено пользователем Alexey_I
Ссылка на комментарий
Поделиться на другие сайты
Tatyana

Tatyana

Опубликовано
  • Автор
Опубликовано
Рез-ты проверки на virustotal неплохо бы увидеть и логи от RSIT и OTViewit

Тогда я сделаю все, кроме скрипта и выложу, но сейчас я убегаю. Все сделаю вечером. Большое спасибо за помощь! :good:

Ссылка на комментарий
Поделиться на другие сайты
Tatyana

Tatyana

Опубликовано
  • Автор
Опубликовано
Без проблем, выполнение скрипта тоже проведите, не забудьте отключить защитное ПО.

Я всегда отключаю. Но COMODO почему-то срабатывает, даже будучи отключенным. :good:

 

Я удалила Bonjour с помощью скрипта для AVZ. Захожу в «Панель управления» -> «Установка и удаление программ», и вижу этот Bonjour там. Папка “Bonjour” в “Program Files” тоже осталась, и там два документа: “About Bonjour.rtf” и “mdnsNSP.dll”. Что с ними делать?

И еще насчет AskSBar хочу уточнить. Я такого не нашла, нашла “Ask Toolbar” в «Панели управления» -> «Установка и удаление программ». А в “Program Files” есть папка AskSBar”. Это одно и то же?

А “Easy SpyRemover” я в «Панели управления» не нашла. Как его тогда удалить?

Ссылка на комментарий
Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Вы сможете оставить комментарий после входа в



Войти
 Поделиться
Перейти к списку тем
×
×
  • Создать...