Раздел: Помогите! (как удалить программу перехватчик на компе)

Отвечать в конференциях и заводить новые темы может любой участник, независимо от наличия регистрации на сайте 7я.ру.

"+

КАК УДАЛИТЬ?

КАК УДАЛИТЬ?

180 search Assistant Options

После очередного коннекта (не по помойкам лазала!), вдруг образовалась у меня в тр.баре (в правом нижнем углу, около часиков, шрифта, звука,..) иконка с двумя серыми стрелочками на белом фоне. При перезагрузке - они снова там. Если нажать правую кнопку - выходит 3 предложения:
1. 180search Assistant.com
2. Contact us
3. About 180search Assistant.com

"закрыть" или "exit" - не предлагают.
Как удалить?
Что это?

Прогнала антивирус for Wind - ниче не нашёл, ещё PC cilin у меня старый - тоже ничего не нарыл.

у меня паранойййяяяя... или меня кушають? А? %(((
19.08.2005 20:24:48,

33 комментария

От кого: Настройки

Вы не авторизованы. Авторизоваться

Если Вы отправите сообщение анонимно, то потеряете возможность редактировать и удалить это сообщение после отправки.

E-mail:
получать ответы на E-mail
показывать ссылки на изображения в виде картинок
отчитываюсь о проделанной работе :)

пока не буду на virusinfo постить, пока ж всё по плану :) и неразрешимых/неудаляемых вещей не выявлено, но ссылку сохраню, maria7, спасибо и ..нафиг-нафиг :))

Ващ вордовский файл произвёл на меня культурологический шок...

лог AVZ прикладываю, т.к. гордюсь его девственной чистотой :) не сама она по себе образовалась...
======
Протокол антивирусной утилиты AVZ версии 3.75.04
Сканирование запущено в 24.08.05 1:46:08
Загружена база: 16273 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения
Загружены микропрограммы эвристики: 354
Загружены цифровые подписи системных файлов: 34746
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: включено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
2. Проверка памяти
Количество найденных процессов: 30
Количество загруженных модулей: 143
Проверка памяти завершена
3. Сканирование дисков
4. Проверка Winsock Layered Service Provider (SPI/LSP)
Настройки LSP проверены. Ошибок не обнаружено
5. Поиск перехватчиков событий клавиатуры/мыши/окон (Keylogger, троянские DLL)
C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.0\MOUSEDLL.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.0\MOUSEDLL.DLL>>> Нейросеть: файл с вероятностью 99.76% похож на типовой перехватчик событий клавиатуры/мыши
C:\PROGRAM FILES\PUNTO SWITCHER\CORRECT.DLL --> Подозрение на Keylogger или троянскую DLL
C:\PROGRAM FILES\PUNTO SWITCHER\CORRECT.DLL>>> Нейросеть: файл с вероятностью 99.68% похож на типовой перехватчик событий клавиатуры/мыши
6. Поиск открытых портов TCP/UDP, используемых вредоносными программами
В базе 320 описаний портов
На данном ПК открыто 5 TCP портов и 4 UDP портов
Проверка завершена, подозрительные порты не обнаружены
7. Эвристичеcкая проверка системы
Проверка завершена
Просканировано файлов: 48372, извлечено из архивов: 31720, найдено вирусов 0
Сканирование завершено в 24.08.05 2:14:20
Сканирование длилось 00:28:12
======

правильно ли я не беспокоюсь по поводу подозрений на Мышь и ПантоСвич? У них же и предназначение - перехватывать..

К сожалению, я вынуждена прервать столь полезное и приятное для меня общение до выходных. Троян ремовер пока не скачала, сделаю, как вернусь.

ВСЕМ СПАСИБО!!! и ... слёзная просьба, дамы и господа! далеко не расходитеся :)))
24.08.2005 10:53:29, чайно-таун :)
Молодец :))). Кажется, сейчас все чисто, на мой взгляд :).
По поводу этих двух программок волноваться не стоит - это не трояны, я уже писала в письме. А вообще, конечно, существуют такие программы-перехватчики (они еще называются клавиатурными шпионами или keylogger на английском), которые записывают все нажатия клавиш, совершенные пользователем. Такие программы не определяются антивирусом и могут работать в скрытом режиме, они невидимы при загрузке и даже не находятся в списке Task Manager. Например, на работе могут такую тайно установить, и тогда начальник знает, чем занимаются подчиненные в его отсутствие и на какие сайты заходят:)))). Но Punto Switcher, насколько мне известно, к таким не относится, это программа совсем для других целей. А что касается мыши, то думаю, это просто ее драйвер. Посмотрите, что находится в папке Browser Mouse в Program Files. Думаю, что это относится к мыши, установленной на Вашем компе. Кстати, и на моем компе какая-то подобная ерунда при сканировании AVZ определяется как шпион :0). Просто надо четко знать, что установлено на компе и для каких целей - неважно, рабочий комп или домашний. Я на любой работе прежде всего детально изучала содержание диска С :).
А теперь поставьте хороший фаервол и новый антивирус :). И очень желательно иметь Spyware Blaster. Хорошо предотвращает попадание на комп всякой подобной ерунды. И не забывать сканировать систему довольно часто программами AdAware, Spybot и подобными :).
24.08.2005 22:58:43, maria7
Хе-хе, удалить такую дрянь очень сложно...При обычном удалении эти файлы самовосстанавливаются и мгновенно размножаются.
У меня недавно была похожая, правда, еще похуже :))).
Для полного удаления понадобилось прочитать сотни страниц форумов в интернете, 10 дней работы и установка 15 (!) новых программ... Ad-Aware у меня лет 7, причем профессиональная версия, но он не вылавливает это. И антивирус у меня мощный, постоянно обновляю его базы. И фаерволл Zone Alarm стоит. И все равно что-то периодически проскакивает! "Писатели" вирусов не дремлют и постоянно придумывают новые трюки :))).
Для начала советую установить HijackThis и просканировать комп, если не знаете, что удалять, то лучше не нужно. Можно запостить лог на компьютерном форуме в разделе по удалению троянов, и там грамотные ребята обьяснят пошагово, как надо действовать.
Я, правда, справилась сама, но мне пришлось детально изучить логи программы (обьяснения я нашла только на английском).
А также надо написать в поиске название трояна и поискать по форумам, как от него избавляться. Вот, кстати, я нашла на сайте Symantec - полное описание, где какие файлы находятся и как удалять.
http://www.symantec.ru/avcenter/venc/data/pf/adware.180search.html
Приготовьтесь к тому, что это долгий и нудный процесс, часто в Safe Mode...Современные трояны - это не шутка! Они стали очень опасны. А для защиты и удаления шпионов надо иметь не только AdAware, необходим SpyBot, а также хорошо иметь Spyware Blaster и CWSredder. Все эти программы бесплатны, их можно скачать в интернете. Ну, и антивирус надо иметь современный, постоянно обновляемый. И делать ежедневно полный скан системы разными программами. Не помешает :))).
22.08.2005 01:46:10, maria7
/после литра валерьянки и горсти валидола.../ какой ужас!!!!! Вы читали мой ник??? Я-ЧАЙНИК. Чайник я... Городской такой, милый, в цветочек и со свистком. Не знай я что такое логи, файервол и английский у меня сильно со словарём, а при слове "троян" - у меня паралич конечностей наступает... знаете, как трудно копытом номер.. ммм, буквы набирать?!!! Вы, пожалста, трубочку не бросайте, далеко не уходите, я ща буду пошагово... в конвульсиях дёргаться...

Для начала советую установить HijackThis и просканировать комп, если не знаете, что удалять, то лучше не нужно.

нашла, установила, запустила ... ну выдал он мне какие-то списки... нет там ничего с "180S". И чё мне с этими списками делать? :((( Ничего удалять мне не предложил.

полное описание, где какие файлы находятся и как удалять.
http://www.symantec.ru/avcenter/venc/data/pf/adware.180search.html


скачала. Китайская грамота для меня :(((

можно ли как-нибудь убедиться, что трояна больше нет? Или не стОит обольщаться?

...пойду искать и скачивать SpyBot, Spyware Blaster и CWSredder..
22.08.2005 13:05:42, чайно-таун :)
Ну-ну, не надо так волноваться :))). Вместе чего-нибудь да придумаем. Я слишком далеко не ухожу, а найти меня можно всегда на Девичнике :)) - вот тут: http://www.devichnik.ru/forums/viewforum.php?f=10
Во-первых, сохраните лог после сканирования в HijackThis и запостите тут, посмотрю, могу ли я сама помочь, по крайней мере, изначально (но для полной уверенности, конечно необходимо, чтобы его просмотрел специалист - во многих случаях способы удаления сильно отличаются, все зависит от разновидности заразы). Во-вторых, можно запостить его вот на этом форуме - он на русском языке - в разделе борьбы с троянами (кстати, на форуме очень много полезной и интересной информации, кототрую следует иногда просматривать).
http://www.virusinfo.info/
Чтобы там можно было задавать вопросы, на этом форуме необходимо зарегистрироваться.
В-третьих, на той страничке Symantec, что я указала вчера в своем сообщении, четко указано, где и какие файлы, относящиеся к данной программе, находятся. Их очень много, но все их можно найти. Чистка обычно бывает нелегкой. Когда уже кажется, что все вычищено, вдруг опять вылезает этот троян, как черт из табакерки! Но отчаиваться не стоит. И переустанавливать систему тоже, хотя многие именно это и советуют. По крайней мере, мне удалось этого избежать (пока :))). Для начала необходимо хоть немного почитать о проблеме (или похожих проблемах других пользователей) по ссылке русскоязычного форума, чтобы понять хоть немного, что предстоит сделать, а потом задавайте вопросы :).
Ну, а чайниками все когда-то были, это все понятно, но это поправимо :). Если есть желание, то выучить можно абсолютно все :).
22.08.2005 17:22:50, maria7
сохраните лог после сканирования в HijackThis и запостите тут
Logfile of HijackThis v1.99.1
Scan saved at 23:16:54, on 22.08.05
Platform: Windows 98 SE (Win9x 4.10.2222A)
MSIE: Internet Explorer v5.00 (5.00.2614.3500)

Running processes:
C:\WINDOWS\SYSTEM\KERNEL32.DLL
C:\WINDOWS\SYSTEM\MSGSRV32.EXE
C:\WINDOWS\SYSTEM\MPREXE.EXE
C:\WINDOWS\SYSTEM\mmtask.tsk
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 2002\PCCIOMON.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 2002\PCCPFW.EXE
C:\WINDOWS\EXPLORER.EXE
C:\WINDOWS\TASKMON.EXE
C:\WINDOWS\SYSTEM\SYSTRAY.EXE
C:\WINDOWS\ANVSHELL.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 2002\PCCGUIDE.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 2002\PCCCLIENT.EXE
C:\PROGRAM FILES\TREND MICRO\PC-CILLIN 2002\POP3TRAP.EXE
C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE
C:\PROGRAM FILES\MEDIA GATEWAY\MEDIAGATEWAY.EXE
C:\WINDOWS\SYSTEM\K5A1UGAO.EXE
C:\PROGRAM FILES\INTERNET OPTIMIZER\OPTIMIZE.EXE
C:\PROGRAM FILES\PUNTO SWITCHER\PS.EXE
C:\WINDOWS\SYSTEM\WMIEXE.EXE
C:\PROGRAM FILES\BROWSER MOUSE\BROWSER MOUSE\1.0\LWBWHEEL.EXE
C:\WINDOWS\SYSTEM\RNAAPP.EXE
C:\WINDOWS\SYSTEM\TAPISRV.EXE
C:\PROGRAM FILES\THE BAT!\THEBAT.EXE
C:\PROGRAM FILES\INTERNET EXPLORER\IEXPLORE.EXE
C:\ANTI\HIJACKTHIS\HIJACKTHIS.EXE

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Ссылки
O2 - BHO: ClickCatcher MSIE handler - {16664845-0E00-11D2-8059-000000000000} - C:\PROGRAM FILES\COMMON FILES\REGET SHARED\CATCHER.DLL
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM FILES\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX
O2 - BHO: SABHO - {21B4ACC4-8874-4AEC-AEAC-F567A249B4D4} - (no file)
O3 - Toolbar: &Радио - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX
O3 - Toolbar: ReGet Bar - {17939A30-18E2-471E-9D3A-56DD725F1215} - C:\PROGRAM FILES\REGETDX\IEBAR.DLL
O4 - HKLM\..\Run: [ScanRegistry] C:\WINDOWS\scanregw.exe /autorun
O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe
O4 - HKLM\..\Run: [SystemTray] SysTray.Exe
O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\Run: [anvshell] anvshell.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [pccguide.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\pccguide.exe"
O4 - HKLM\..\Run: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCIOMON.exe"
O4 - HKLM\..\Run: [PCCClient.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCClient.exe"
O4 - HKLM\..\Run: [Pop3trap.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\Pop3trap.exe"
O4 - HKLM\..\Run: [asustweakenable] C:\PROGRAM FILES\ASUS\TWEAKING UTILITIES\ATWEAK.EXE /start
O4 - HKLM\..\Run: [AVGCtrl] C:\PROGRAM FILES\AVPERSONAL\AVGCTRL.EXE /min
O4 - HKLM\..\Run: [Media Gateway] C:\PROGRAM FILES\MEDIA GATEWAY\MEDIAGATEWAY.EXE
O4 - HKLM\..\Run: [k5a1ugao] C:\WINDOWS\SYSTEM\k5a1ugao.exe
O4 - HKLM\..\Run: [Internet Optimizer] "C:\Program Files\Internet Optimizer\optimize.exe"
O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme
O4 - HKLM\..\RunServices: [PCCIOMON.exe] "C:\Program Files\Trend Micro\PC-cillin 2002\PCCIOMON.exe"
O4 - HKLM\..\RunServices: [PCCPFW] C:\Program Files\Trend Micro\PC-cillin 2002\PCCPFW.exe
O4 - HKCU\..\Run: [Punto Switcher] C:\PROGRAM FILES\PUNTO SWITCHER\PS.EXE
O4 - Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE
O4 - Startup: SuperVoice.lnk = C:\SUPERVOC\PROGRAM\supervoc.exe
O4 - Startup: Mouse.lnk = C:\Program Files\Browser Mouse\Browser Mouse\1.0\LwbWheel.exe
O8 - Extra context menu item: Закачать &все при помощи ReGet Deluxe - C:\PROGRAM FILES\COMMON FILES\REGET SHARED\CC_All.htm
O8 - Extra context menu item: Закачать при помощи Re&Get Deluxe - C:\PROGRAM FILES\COMMON FILES\REGET SHARED\CC_Link.htm
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\SYSTEM\MSJAVA.DLL
O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program Files\ICQ\ICQ.exe
O12 - Plugin for .spop: C:\PROGRA~1\INTERN~1\Plugins\NPDocBox.dll
O14 - IERESET.INF: SEARCH_PAGE_URL=
O14 - IERESET.INF: START_PAGE_URL=
O16 - DPF: {4E330863-6A11-11D0-BFD8-006097237877} (InstallFromTheWeb ActiveX Control) - http://tw.msi.com.tw/autobios/client/iftwclix.cab
O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c18.cab
O16 - DPF: {99410CDE-6F16-42ce-9D49-3807F78F0287} (ClientInstaller Class) -
O17 - HKLM\System\CCS\Services\VxD\MSTCP: NameServer = 217.107.87.118

22.08.2005 23:21:15, чайно-таун :)
Я внимательно прочитала весь лог и проверила процессы.
На первый взгляд, я не вижу ничего подозрительного, что необходимо было бы срочно удалять. Все программы мне вроде знакомы. Но повторю еще раз: это ничего не значит, я могла что-то и не знать или пропустить. Будет надежнее, если на лог все же посмотрят ребята с форума virusinfo. Дайте мне свой адрес, пришлю вордовый файл, где я написала кое-какие "заметки сумасшедшего" :))). Желтым маркером отмечены все нормальные для компа процессы.
Копаясь еще раз с этой проблемой, я наткнулась на деинсталятор этой самой 180Search. Скачать можно отсюда:
http://securityresponse.symantec.com/avcenter/Fix180Sh.exe
Советую прогнать его в системе, возможно, он сам и решит проблему автоматически. А дальше сообщите, что получилось. И, кстати, как ведет себя комп? :))
Я до сих пор с ужасом вспоминаю, как гонялась за своим трояном по всем закоулкам компа по 12 часов в день и, засыпая под утро в холодном поту, видела его во сне :))).

Проверьте также поиском, по одному, нет ли таких файлов в системе:
Msbb.exe
Boomerang.exe
ClientAX.dll
180SAInstaller.dll
setup4156.exe
sac.exe
sau.exe
1802.dll

А также наличие таких папок и файлов:
%Program Files%\180search Assistant\sain.exe
%Program Files%\180search Assistant\hsr.dll
%Program Files%\180search Assistant\sau.exe
%Program Files%\180search Assistant\sau.log
%Program Files%\180search Assistant\sau.dll
%Program Files%\180search Assistant\sau_[3 RANDOM LETTERS].dat
%Program Files%\180search Assistant\sauau.dat
%Program Files%\180search Assistant\sac.exe
%Program Files%\180search Assistant\sauhook.dll
%Program Files%\180search Assistant\sachook.dll
%Program Files%\180searchassistant\salm.exe
%Program Files%\180searchassistant\salmau_update.dat
%Program Files%\180searchassistant\salmhook.dll
%Program Files%\180searchassistant\salm.dat
%Program Files%\180searchassistant\salm_[3 RANDOM LETTERS].dat
%Program Files%\180searchassistant\salm_3 RANDOM LETTERS]_update.dat
%Program Files%\180searchassistant\sac_[3 RANDOM LETTERS]_update.dat
%Program Files%\180searchassistant\sac_[3 RANDOM LETTERS].dat
%Program Files%\180searchassistant\sackyf.dat
%Program Files%\180searchassistant\sacau.dat
%Windir%\[RANDOM FILE NAME].exe
%Windir%\Downloaded Program Files\ClientAx.dll
%Windir%\Downloaded Program Files\ClientAx.inf
%Temp%\180sainstallernusalm.exe
%UserProfile%\Local Settings\Temp\180ax.exe
%UserProfile%\Local Settings\Temp\180ax.log
%Windir%\ClientInstaller.log
Еще целая куча ключей появляется в системном реестре, как их искать и удалять, объяснять не буду - это непросто; и надо четко понимать, что делаешь, иначе можно просто запороть систему.
Попробуйте все же сначала деинсталятор использовать, возможно, я ничего такого не вижу, потому что часть файлов уже удалена. А может, имеет смысл все же показать лог на форуме вирус-инфо. Они, правда, еще обычно просят лог AVZ (тоже бесплатная утилита подобного вида, только с русским интерфейсом, можно скачать на многих сайтах).
Я понимаю, что работка не из легких, но я же предупреждала :)))).

P.S. Хотя одна строка вызывает некоторое сомнение. Выглядит очень подозрительно, а упоминания о такой программе я не нашла нигде в интернете. И запускается из системной папки, куда очень любят прописываться трояны.
O4 - HKLM\..\Run: [k5a1ugao] C:\WINDOWS\SYSTEM\k5a1ugao.exe
23.08.2005 06:14:33, maria7
на лог все же посмотрят ребята с форума virusinfo.
на virusinfo тьма форумов, в какой лучше запостить?

Дайте мне свой адрес, пришлю вордовый файл,
написала на подник. Спасибо!

деинсталятор этой самой 180Search. Скачать можно отсюда:
http://securityresponse.symantec.com/avcenter/Fix180Sh.exe
Советую прогнать его в системе, возможно, он сам и решит проблему автоматически. А дальше сообщите, что получилось


скачала, прогнала. Ничего не нашёл.

И, кстати, как ведет себя комп? :))
у меня ж паранойййя... реакции обострены и неадекватны... шугаюсь от любой задумчивости компа, как ревнивец всё бдю - где был, с кем был, пааачему так долго/быстро/не так, как обычно ... мне счас и не угодишь же... :))
Комп ведёт себя прилично... вроде... ну уж точно приличнее меня :))) Но, мож мы в троём уже давно с этой заразой живём, я и обвыклась ужо, симбиоз понимаишшь...

Проверьте также поиском, по одному, нет ли таких файлов в системе:
Msbb.exe...

Проверила. Из приведённого Вами списка ничего нет.

лог AVZ...
вот он нашёл
Протокол антивирусной утилиты AVZ версии 3.75.04
Сканирование запущено в 23.08.05 12:02:03
Загружена база: 16273 сигнатуры, 1 нейропрофиль, 55 микропрограмм лечения
Загружены микропрограммы эвристики: 354
Загружены цифровые подписи системных файлов: 34746
Режим эвристического анализатора: Средний уровень эвристики
Режим лечения: выключено
1. Поиск RootKit и программ, перехватывающих функции API
1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Анализ ntdll.dll, таблица экспорта найдена в секции .text
Анализ user32.dll, таблица экспорта найдена в секции .text
Анализ advapi32.dll, таблица экспорта найдена в секции .text
Анализ ws2_32.dll, таблица экспорта найдена в секции .rdata
Анализ wininet.dll, таблица экспорта найдена в секции .text
Анализ rasapi32.dll, таблица экспорта найдена в секции .text
Анализ urlmon.dll, таблица экспорта найдена в секции .text
Анализ netapi32.dll, таблица экспорта найдена в секции .text
2. Проверка памяти
Количество найденных процессов: 28
c:\windows\system\k5a1ugao.exe>>>>> Вирус !! AdvWare.Sahat.ai
c:\program files\internet optimizer\optimize.exe>>>>> Вирус !! Trojan-Downloader.Win32.Dyfuca.ei
Количество загруженных модулей: 137
c:\windows\system\rntcbsd1.dll>>>>> Вирус !! AdvWare.Sahat.ad
c:\windows\system\k5a1ugao.exe>>>>> Вирус !! AdvWare.Sahat.ai
c:\program files\internet optimizer\optimize.exe>>>>> Вирус !! Trojan-Downloader.Win32.Dyfuca.ei
Проверка памяти завершена
3. Сканирование дисков
...
весь лог выслала Вам на мыло

. Хотя одна строка вызывает некоторое сомнение. Выглядит очень подозрительно, а упоминания о такой программе я не нашла нигде в интернете. И запускается из системной папки, куда очень любят прописываться трояны.
O4 - HKLM\..\Run: [k5a1ugao] C:\WINDOWS\SYSTEM\k5a1ugao.exe

вот оно... морда... у-у... /дальше всё равно замодерят/ :((
====
КАК Я РАДА, ЧТО ВЫ ОТКЛИКНУЛИСЬ!!!! :)
23.08.2005 12:41:26, чайно-таун :)
Так, письмо получила :))). Инга, мне очень нравится Ваш юмор :). Давно я так не смеялась :).
Вопросы по шпионам и adware задаются в этом разделе:
http://virusinfo.info/forumdisplay.php?f=42
Надо зарегистрироваться и прочитать правила форума - обязательно!
Лог AVZ, как я вижу, тоже оказался очень полезным :))).
Надо удалить все, что он считает вирусом (там есть несколько строк, относящихся к 180searsch, но есть и другие трояны). Как я уже написала вчера в письме (высылаю его на мейл) - следует удалить Internet Optimizer. И никогда подобных программ не устанавливать. Я уже прошла через это несколько лет назад :)). Если я устанавливаю программу, а потом делаю скан системы, например, AdAware, и он его, голубчика, обнаруживает, то я немедленно его стираю, а если программа без трояна отказывается работать, то незамедлительно убираю и ее (есть программы, работающие нормально после удаления шпионов).
Файл, который я подозревала, тоже оказался вирусом (мне-таки показалось подозрительным его название :))).
Думаю, что деинсталятор 180 ничего не находит потому, что часть файлов уже удалена, и троян находится в "нерабочем состоянии", но, возможно, к размножению способен, поэтому надо быть начеку ;).
Скачать Trojan Remover 6.4.2 - последняя версия - можно тут (прямая ссылка):
http://mostinfo.net/soft/down/329. Правда, где взять кряк для этой версии, не знаю, нашла только для более старых... У меня эта программа была когда-то, но сейчас нету. На всякий случай тоже скачала :).
Скачать Spybot можно, например, отсюда:
http://www.listsoft.ru/programs/13120/.
Это хороший сайт, его владелец написал немало замечательных книг по компам :).
И не торопитесь переустанавливать систему, думаю, мы и так справимся :-).
Посылаю на почту вордовый файл с логом и еще кое-что интересное, что советую тщательно прочитать :). Если есть еще вопросы - пишите. Буду рада помочь.
23.08.2005 17:45:21, maria7
Прежде чем удалять то что он порекомендует советую сделать копию системы чтобы вообще все не порушить. ;) 23.08.2005 17:51:23, LemJobs
12 часов, я просто ужасаюсь. вирусу после обнаружения место на компе не больше 10 минут :)
прогнать последние версии trojan remover + AVZ (обе в авторежиме) и спать спокойно, без кАшмАрОв...
avz качать лучше на сайте автора - там она точно последняя http://z-oleg.com/avz3.zip
23.08.2005 12:13:56, svet
я скачала AVZ версия 3.75.04 от 22.08.2005

При прогоне AVZ нужно сразу поставить галочку в "выполнять лечение", "копировать удаляемые файлы в Infected", "копировать подозрительные в карантин"?

А то ж я только просканировала

trojan remover - где взять лучше? Или первый попавшийся по поиску?
23.08.2005 12:58:08, чайно-таун :)
троян ремовер 3.4.2 кажется последняя версия самой программы+обновления. есть на http://forum.ru-board.com/ в разделе варезник (надо зарегестрировать чтобы его увидеть). у меня сегодня что-то нет туда доступа, точный линк на скачивание дать не могу..

"выполнять лечение" обычно достаточно.
ну и лог просмотреть - что пишет.
23.08.2005 13:23:31, svet
Антивирусник не спасет.
Советую сходить сюда: http://www.lavasoft.de/support/download/
и скачать себе софтину Ad-Aware, предназначенную для борьбы с такой вот нечистью. Там есть бесплатная версия, ссылочку найдете надеюсь (все по-англицки:-)
Затем просканируйте систему этой утилиткой. Если не спасет - еще чего нибудь придумаем.
Кстати, через "панель управления - установка-удаление программ" не удаляется эта гадость?
19.08.2005 21:58:24, limonych
Если эта программка не поможет лучше заново залить комп. Так быстрее будет. ;)
Поэтому диск у компа лучше всегда делать на две части. Одну для данных, другую для системы.
23.08.2005 12:07:58, LemJobs
ага, щаз-с, быстрее. особенно если комп рабочий и надо не просто ОСь переставить а еще и программы с настройкой.
кстати, ad-aware ОЧЕНЬ часто не помогает. но это еще ничего не значит.
23.08.2005 12:20:57, svet
комп рабочий!!! стахановец-многостаночник!! 23.08.2005 12:58:22, чайно-таун :)
Для опытного человека, переставить 2-3 часа. А искать и копать эти вирусы можно несколько дней. (если антивирусы не помогают). Пусть "чайно-таун :)" сначала скажет что за комп и какие программы там есть. Если офис, почта и по мелочи. Точно не стоит копаться.
А на будущее лучше поставить экран.
23.08.2005 12:39:03, LemJobs
Леонид, я к сожалению, не отношусь к "опытным". Я - пользователь. И Ось, и проги - всё ставила не я. Я ещё могу настроить то, с чем я работаю, под себя, но переустановка... брр.. У меня громадная база на Бате, никто не даёт гарантии, что она сохранится при переустановке...

А как поставить экран?
23.08.2005 12:58:08, чайно-таун :)
ищите agnitum outpost pro
он по умолчанию уже в основном ставится настроенным? имеет русскую морду. и имеет профили под большинство распространенных програм типа ИЕ, бата, аськи и т.п.
23.08.2005 13:29:21, svet
спасибо! Обязательно поищу и буду пытаться освоить их :) 24.08.2005 10:54:33, чайно-таун :)
The Bat отлично все копирует в один файл. Это лучшая программа в этом плане. Так что об этом можете не беспокоится.
Рекомендую это делать регулярно.
Если Вы сами не ставили обычные программы, то скорее всего экран тоже сами поставить не сможете.
У Вас WinXP Prof, Home или 2000?
Диск разбит на две части C и D?
23.08.2005 13:05:09, LemJobs
/шепотом из под каски и бронежилета/ Win 98, диск не разбит, тока С...

я ещё пристану к Вам с Батом, мона? Мне на ноут базу нужно перенести...
24.08.2005 10:53:34, чайно-таун :)
Ну это не клинический случай. ;) Но от одного диска и 98 лучше отходить ....

The Bat! Идете в меню Инструменты-Резервная копия
Там внимательно читаете все кнопочки и галочки и делаете резервную копию на жесткий диск.
Потом ее переносите на Flash-CD ...
И в обратном порядке Инструменты-Восстановить из резервной копии
восстанавливаете на новом компе. Переносит все, включая Ваш ключ ...
24.08.2005 11:14:48, LemJobs
У меня за полдня с трудом. хотя уж чего-чего, а опыта... просто программ много, все нужные и настройки обширные. не работать же в базовой конфигурации винды :)))

вы думаете чайнику проще переставить винду? :) гы-гы. особенно ответить на вопрос в какой раздел диска ее ставить и надо ли при этом форматировать :)
а почти под всю троянскую заразу есть как общие так и частные программы-ремуверы.
23.08.2005 12:50:19, svet
Ну если много программ и настроек нужно пользоватся смециальными программами backup. Типа Ghost 23.08.2005 12:56:06, LemJobs
я то пользуюсь. но научить чайников создавать имиджи дисков непросто, хоть и процедура элементарна... 23.08.2005 13:27:40, svet
Антивирусник не спасет.
ёёё... %((( А чё это??!! Дохтур, а я буду жить...?? очень хоцца однака... и нужно мне ... пока

Советую сходить ... и скачать себе софтину Ad-Awarei.
сходила, скачала
трясущимися ручёнками инсталировала, до кучи нашла вражнину папку в Progr.Files - потёрла, удаляться из корзины та хре... ой... отказывается, перезагрузка, все по местам стоЯть :((, я по новой запустила единственный экзешник из Ad-Aware папки, всё стало голубым и зелёным /зелёное - это я - от страху/... красная кнопачка форева... на столе - бардак, все иконки в одной куче, карзина показывает, что в ней что-то есть, заходишь - а ничего нет. Вот такая ситуёвина на данный момент.

А дальше ЧТООООО???

Кстати, через "панель управления - установка-удаление программ" не удаляется эта гадость?
неа :((( ваще, не видна она там была
19.08.2005 23:25:18, чайно-таун :)
главное забыла!! - из тр.бара исчезла иконка :) А мож просто заховалась куды хитро... и зубы точит? 19.08.2005 23:34:39, чайно-таун :)
а можно в диспетчере задач в закладочке процессы поискать ту нечисть по названию похожую. Если нет видимо расслабиться можно:-)
Плюс еще: "пуск-выполнить" там набрать без кавычек "msconfig" и в закладках Службы и Автозапуск ту бяку поискать и отключить если есть она.
А корзина, ну бывает, может перегрузить да и пройдет:-)
20.08.2005 00:26:36, Limonych
в taskinfo? нет похожих

"пуск-выполнить" там набрать без кавычек "msconfig" и в закладках Службы и Автозапуск ту бяку поискать и отключить если есть она.

нет её. Заодно отключила, кой-чего ненужное, что убить - руки не доходили :))

А корзина ить и взаправду почистилась :)))

Ай, СПАСИБО!!! :)))

Таки что это было? Я несколько писем вынуждена была отослать в это время. Мне предупреждать честных людей, шоб проверились? Или это не заразно? ;)
20.08.2005 01:06:00, чайно-таун :)
Это не заразно, но лучше еще запустить regedit и по поиску найти и уничтожить всякое упоминание об этой программе. 20.08.2005 17:47:33, Gidra
нашла regedit поиском на родном компе :) запустила первый раз в жизни :)) В "найти" вставляла "180s" и выданные строки удаляла. Второй прогон дал пустоту.

Прогнала комп элементарным "найти" на "180s" и в каталоге с:\temp обнаружился экзешник 180SAInstaller.exe - удалила. Корзину почистила.

/утирая трудовой пот со лба/ тАперь фффсё??? :)))
21.08.2005 20:46:01, чайно-таун :)








© 2000-2019, 7я.ру.

SIA "ALP-Media", Свидетельство о регистрации СМИ №000740455. info@7ya.ru, http://www.7ya.ru/

Материалы сайта носят информационный характер и предназначены для образовательных целей. Мнение редакции может не совпадать с мнениями авторов. Перепечатка материалов сайта запрещена без письменного согласия компании SIA "ALP-Media" и авторов. Права авторов и издателя защищены.

18+
Если вы обнаружили на странице ошибки, неполадки, неточности, пожалуйста, сообщите нам об этом. Спасибо!