Доброго времени суток. Такая вот проблема скачала VKSaver(в спешке с непроверенного ресурса) через сутки, при прохождении по ссылке vkontakte.ru, выдает вот такое: "Соединение закрыто удалённым сервером Проверьте, верно ли написание адреса, или попробуйте найти сайт". Отсканировала комп чем только могла, результат дал только "avz". Из лога: "5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL) C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll --> Подозрение на Keylogger или троянскую DLL C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll>>> Поведенческий анализ 7. Эвристичеcкая проверка системы Подозрение на скрытую загрузку библиотек через AppInit_DLLs: "C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll" Проверка завершена" Собственно проблема: не могу ни найти, ни удалить эту пакость. Весь комп вручную облазила, поиск выполняла - безрезультатно. Поможете? virusinfo_syscheck.zip virusinfo_syscure.zip hijackthis.log
Доброе время суток! 1. Отключите антивирус/фаервол, интернет. 2. Очистите временные файлы через Пуск-Программы-Стандартные-Служебные-Очистка диска или с помощью ATF Cleaner 2.1. скачайте ATF Cleaner, запустите, поставьте галочку напротив Select All и нажмите Empty Selected. 3. Выполните скрипт в AVZ (Запустите AVZ, Меню - Файл - Выполнить скрипт, в открывшееся окно вставляем скрипт и нажимаем Запустить.) Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); ClearHostsFile; QuarantineFile('D:\ПРОГИ\ICQ7.5\ICQ.exe',''); QuarantineFile('C:\Program Files\Ask.com\GenericAskToolbar.dll',''); QuarantineFile('c:\windows\system32\winlogon.exe',''); QuarantineFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll',''); QuarantineFile('D:\ИГРЫ\NFS Antology - 1994 - 2000\Addons\Undercover\Texmod.exe',''); DeleteFile('D:\ИГРЫ\NFS Antology - 1994 - 2000\Addons\Undercover\Texmod.exe'); DeleteFile('C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll'); TerminateProcessByName('c:\documents and settings\all users\application data\vksaver\vksaver.exe'); DeleteFile('c:\documents and settings\all users\application data\vksaver\vksaver.exe'); DeleteFile('C:\Program Files\Ask.com\GenericAskToolbar.dll'); DeleteFile('D:\ПРОГИ\ICQ7.5\ICQ.exe'); DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}'); DelBHO('{7578ADEA-D65F-4C89-A249-B1C88B6FFC20}'); DelBHO('{D4027C7F-154A-4066-A1AD-4243D8127440}'); DelBHO('{00000000-6E41-4FD3-8538-502F5495E5FC}'); ExecuteWizard('TSW',2,3,true); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. После выполнения скрипта компьютер перезагрузится! После перезагрузки выполните второй скрипт: Код: begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В папке AVZ найдите архив quarantine.zip и проверьте его на VirusТotal, результат скопируйте суда. 4.Пофиксите в hijackthis следующие строки: Код: R3 - URLSearchHook: (no name) - - (no file) O20 - AppInit_DLLs: C:\DOCUME~1\ALLUSE~1\APPLIC~1\VKSaver\vksaver3.dll R3 - URLSearchHook: UrlSearchHook Class - {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O23 - Service: ICQ Service - Unknown owner - C:\Program Files\ICQ6Toolbar\ICQ Service.exe O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files\Ask.com\GenericAskToolbar.dll (file missing) O4 - HKLM\..\Run: [VKSaver] C:\Documents and Settings\All Users\Application Data\VKSaver\VKSaver.exe O4 - HKUS\S-1-5-19\..\RunOnce: [Z-Del_Mini1] cmd /c del /q /f "%userprofile%\Главное меню\Програм&# 1084;ы\Удаленный помощник.lnk" (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [Z-Del_Mini4] cmd /c reg add "hkcu\Software\Microsoft\Internet Explorer\Toolbar" /v Locked /t REG_DWORD /d 1 /f (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [Z-Del_OE] rundll32.exe advpack.dll,LaunchINFSection C:\WINDOWS\INF\deloe.inf,DelOE.Inst (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOCAL SERVICE') O4 - HKUS\S-1-5-20\..\RunOnce: [Z-Del_Mini1] cmd /c del /q /f "%userprofile%\Главное меню\Програм&# 1084;ы\Удаленный помощник.lnk" (User 'NETWORK O4 - HKUS\S-1-5-18\..\RunOnce: [Z-Del_Mini1] cmd /c del /q /f "%userprofile%\Главное меню\Програм&# 1084;ы\Удаленный помощник.lnk" (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [Z-Del_Mini1] cmd /c del /q /f "%userprofile%\Главное меню\Програм&# 1084;ы\Удаленный помощник.lnk" (User 'Default user') O9 - Extra button: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\ПРОГИ\ICQ7.5\ICQ.exe (file missing) O9 - Extra 'Tools' menuitem: ICQ7.5 - {7578ADEA-D65F-4C89-A249-B1C88B6FFC20} - D:\ПРОГИ\ICQ7.5\ICQ.exe (file missing) O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O23 - Service: QipGuard - QIP.ru - C:\Program Files\QipGuard\QipGuard.exe 5. Сделайте лог MBAM и дайте ссылку на файл лога. 6. Сделайте повторно логи AVZ(предварительно обновив базы: Меню - Файл - Обновление баз), hijackthis и прикрепите их к сообщению.
эмм,вроде после первого скрипта исчез кейлоггер( после перезагрузки не появился значок вксейвера в трее, очередной лог в авз не выдал "красных строк" и в контакт заходит). Думаю, все. Спасибо ^_^
