Trojan-Downloader.JS.Tabletka.a

[Alexey_I]

После удаления "Bonjour" у меня не сразу открывается интернет

По ссылке здесь в инструкции написано

 

2. Далее качаем мега полезную утилиту LSP-fix. Открываем, ставим галочку напротив «I know what i`m doing…». В нижней части окна видим список из нескольких файлов. Выделяем mdnsnsp.dll и перемещаем его в правую сторону – для этого нажимаем кнопку «>>». После нажимаем «Finish>>», перезагружаемся.

Вы это делали? Если нет - сделайте.

в ней пустая папка "SrchAstt". Можно удалить?

Можно.

Странно, что c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe не нашлось, в меню пуск-все программы - автозагрузка есть что нибудь? Можете ещё поискать в C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe и c:\windows\pss\msn_0801_upd102045.exe

Если нет или не найдется, скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

File::
c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe
c:\windows\pss\msn_0801_upd102045.exe

Folder::
c:\program files\AskSBar
c:\program files\Easy SpyRemover
Registry::
[-HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{75b6fa83-ede5-11db-9e66-806d6172696f}]
FileLook::
c:\windows\system32\qweasdf.dat
c:\documents and settings\Tatjana\Application Data\ezpinst.exe
c:\documents and settings\All Users\Application Data\PKP_DLec.DAT

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Когда сохранится новый отчет ComboFix, выложите C:\ComboFix.txt в сообщение

 

Коме этих файлов придраться больше не к чему, файлы вероятно чистые, на всякий случай можете запаковать их с паролем virus и отправить на newvirus@kaspersky.com

Правда нет ещё нового лога AVZ после скрипта...

Проблемы какие наблюдаются?

зы. Вместо RSIT можете сделать логи OTViewIt. Скачайте OTViewIt сохраните на рабочий стол и запустите, запакуйте полученные логи OTViewIt.txt и Extras.txt и прикрепите к сообщению.

Изменено 5 декабря, 2008 пользователем Alexey_I

[Tatyana]

Странно, что c:\documents and settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe не нашлось, в меню пуск-все программы - автозагрузка есть что нибудь? Можете ещё поискать в C:\Documents and Settings\All Users\Главное меню\Программы\Автозагрузка\msn_0801_upd102045.exe и c:\windows\pss\msn_0801_upd102045.exe

Его нет нигде на диске C. Я искала его программой AVZ на всем диске. Буду выполнять дальнейшие шаги.

 

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe

На пиктограмму это куда?

 

Правда нет ещё нового лога AVZ после скрипта...

Проблемы какие наблюдаются?

Сейчас попробую.

[MedvedevUnited]

На пиктограмму - т.е. на значек программы ComboFix (прямо на файл программы).

[Tatyana]

Коме этих файлов придраться больше не к чему, файлы вероятно чистые, на всякий случай можете запаковать их с паролем virus и отправить на newvirus@kaspersky.com

Еще вчера отправила.

Правда нет ещё нового лога AVZ после скрипта...

Проблемы какие наблюдаются?

Все те же: не обновить программу, не выполнить стандартный скрипт №3.

в меню пуск-все программы - автозагрузка есть что нибудь?

Да. Там такие:

Remote

NkbMonitor.exe

Total Commander

WinCinema Manager

На пиктограмму - т.е. на значек программы ComboFix (прямо на файл программы).

О.К. Теперь поняла.

 

Вы это делали? Если нет - сделайте.

Сделала, но в папке "Bonjour" этот "mdnsNSP.dll" остался.

 

Все сделала. Третий скрипт AVZ, как всегда, не получился. Сделала второй (это новый, и если он один в один с предыдущими, то я не знаю, в чем дело - и Каспер, и COMODO отключены).

 

И еще одна вещь мне непонятна: у меня после сканирования ComboFix уже второй раз на раб. столе очутилось 2 ярлыка IE, а до этого был один.

 

Мне ответили по поводу тех трех файлов, которые я вчера отправила на newvirus@kaspersky.com. Там не нашли ничего вредоносного.

virusinfo_syscheck.zip

ComboFix.rar

OTViewIt.rar

Extras.rar

Изменено 5 декабря, 2008 пользователем Tatyana

[Alexey_I]

Сделала, но в папке "Bonjour" этот "mdnsNSP.dll" остался

Если вручную не удаляли, то конечно остался, с помощью LSP-fix файл mdnsNSP.dll удалить можно только из настроек SPI/LSP, проще из реестра, если его оттуда не удалить, но удалить с диска mdnsNSP.dll. то интернет может перестать работать.

стандартный скрипт №3 у вас может не выполнятся из за того же comodo или антивируса, возможно есть конфликты между ними, вероятно по той же причине не обновляется программа. Попробуйте удалить comodo и переустановить антивирус, comodo можете потом снова установить (если очень захочется), скачав здесь новую версию.

По логам OTViewit и AVZ ничего плохого, msn_0801_upd102045.exe по логам OTViewit также нет, если файлы, отправленные в вирлаб окажутся чистыми то, зловредов нет.

Изменено 5 декабря, 2008 пользователем Alexey_I

[Tatyana]

По логам OTViewit и AVZ ничего плохого, msn_0801_upd102045.exe по логам OTViewit также нет, если файлы, отправленные в вирлаб окажутся чистыми то, зловредов нет.

Мне ответили, что ничего вредоносного в этих файлах нет. Я тогда не буду переустанавливать COMODO. У меня только файерволл, а по ссылке файерволл+антивирус. Я боюсь, что тогда точно будут конфликты с Касперским. Если все чисто, то это радует. Большое всем спасибо за помощь!

 

Если вручную не удаляли, то конечно остался, с помощью LSP-fix удалить можно только из настроек SPI/LSP, проще из реестра )

Т.е. теперь надо удалить саму папку вручную?

[Alexey_I]

Т.е. теперь надо удалить саму папку вручную?

Можно только в том случае, если удалили с помощью LSP-Fix mdnsNSP.dll из настроек SPI/LSP

имхо, движок антивируса в comodo можно отключить, но и без него возможны конфликты, антивирус лучше переустановите, у вас по логам есть ошибки, связанные с avp.exe

Error - 05.12.2008 5:47:08 | Computer Name = TATA | Source = Application Error | ID = 1000

Description = Ошибка приложения avz.exe, версия 4.28.0.66, модуль avz.exe, версия

4.28.0.66, адрес 0x00002254.

[Tatyana]

Можно только в том случае, если удалили с помощью LSP-Fix mdnsNSP.dll из настроек SPI/LSP

Удалила.

антивирус лучше переустановите, у вас по логам есть ошибки, связанные с avp.exe

Эх. Ясно. Придется тогда переустанавливать. Может быть, проблемы с Windows Uninstaller связаны именно из-за ошибки с avp.exe. Я пыталась уже удалить Касперского, не не получилось. Попробую через "Панель управления". А ключ ведь будет действителен после переустановки?

 

И еще с тех пор как началась вся эта история с вирусом, у меня сильно упала скорость скачивания с файлообменников и заливки на них. Что может быть причиной? Или лучше у провайдера спросить?

Изменено 5 декабря, 2008 пользователем Tatyana

[Alexey_I]

проблемы с Windows Uninstaller

Какие? Антивирус (и все остальные программы) желательно удалять через панель управления, после удаления ещё можете воспользоваться утилитой KAVremover9.zip см. здесь, если сборка у вас старая, рекомендую скачать и установить новую, ключ должен работать, уже предлагали в 29 посте

проблема со скоростью ещё существует? м.б. связано с провайдером, а может снова с комодо и avp Все таки рекомендую комодо удалить, вместо него временно включить встроенный брандмауэр windows и протестировать в такой конфигурации.

[Tatyana]

Какие?

Не удалялся антивирус. Тоже какая-то ошибка выскакивала. Я где-то здесь писала.

после удаления ещё можете воспользоваться утилитой KAVremover9.zip

А можно ей сразу удалить без "Панали управления"?

проблема со скоростью ещё существует?

Есть, но не везде. Наверное, это что-то на серверах самих файлообменников все же.

Все таки рекомендую комодо удалить

Честно говоря, не хотелось бы. Уж больно проблемно его было настраивать.

[MedvedevUnited]

Удалять KAV сразу remover'ом крайне нежелательно.

[Tatyana]

Удалять KAV сразу remover'ом крайне нежелательно.

О.К. Попробую удалить тогда через "Панель управления". Я просто боюсь, что потом утилита остатков KAV не найдет. Но если должна, то попробую.

[MedvedevUnited]

Попробуйте. А если не найдет, значит ничего не осталось

Изменено 5 декабря, 2008 пользователем MedvedevUnited

[Alexey_I]

Не удалялся антивирус. Тоже какая-то ошибка выскакивала.

Какая ошибка? Если " Нет доступа к службе установки Windows"

Сохраните текст ниже как fixmsi.reg и примените.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer]
"Description"="Позволяет добавлять, изменять и удалять приложения, предоставленные пакетом Windows Installer (*.msi). Если эта служба отключена, любые службы, которые явно зависят от нее, не могут быть запущены."
"Type"=dword:00000020
"Start"=dword:00000003
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):43,00,3a,00,5c,00,57,00,49,00,4e,00,44,00,4f,00,57,00,53,00,5c,00,73,00,79,0
0,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,6d,00,73,00,69,00,65,00,78,00,65,00,
6
3,00,2e,00,65,00,78,00,65,00,20,00,2f,00,56,00,00,00,00,00
"DisplayName"="Windows Installer"
"DependOnService"=hex(7):52,00,70,00,63,00,53,00,73,00,00,00,00,00
"DependOnGroup"=hex(7):00,00
"ObjectName"="LocalSystem"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Security]
"Security"=hex:01,00,14,80,90,00,00,00,9c,00,00,00,14,00,00,00,30,00,00,00,02,00,1c,00,01,0
0,00,00,02,80,14,00,ff,01,0f,00,01,01,00,00,00,00,00,01,00,00,00,00,02,00,60,00,
0
4,00,00,00,00,00,14,00,fd,01,02,00,01,01,00,00,00,00,00,05,12,00,00,00,00,00,18,
0
0,ff,01,0f,00,01,02,00,00,00,00,00,05,20,00,00,00,20,02,00,00,00,00,14,00,8d,01,
0
2,00,01,01,00,00,00,00,00,05,0b,00,00,00,00,00,18,00,fd,01,02,00,01,02,00,00,00,
0
0,00,05,20,00,00,00,23,02,00,00,01,01,00,00,00,00,00,05,12,00,00,00,01,01,00,00,
0
0,00,00,05,12,00,00,00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MSIServer\Enum]
"0"="Root\\LEGACY_MSISERVER\\0000"
"Count"=dword:00000001
"NextInstance"=dword:00000001

 

Можете попробовать установить Windows Installer 4.5

или Пуск --> Выполнить: msiexec /unregister , затем msiexec /regserver

А другие программы нормально удаляются? Если что, можно будет драйвера от KAV скриптом AVZ зачистить

[MedvedevUnited]

Ошибка здесь: http://forum.kasperskyclub.ru/index.php?s=...ost&p=68992

Перерегистрацию пробовали уже, не помогло. Правда, не знаю, отрабатывались ли остальные данные рекомендации.

У меня вопрос: Windows Installer 4.5 разве для XP подойдет?