Новый вирус?
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
Новый вирус?
С названием Isearch destop search. Нортон, Панда, Др веб. Хиджак, стингер, , ад варе 6 его не видят.Антиспай от майкросовт его видит, дает предупреждение, якобы удаляет, но при запрашиваемой перезагзузки компа вирус возникает опять. Что можно сделать?
Жизнь бьет ключем.... и все по голове.
-
- Уже с Приветом
- Posts: 5738
- Joined: 04 Dec 2000 10:01
- Location: MN -> Moscow -> Thailand
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
-
- Уже с Приветом
- Posts: 2261
- Joined: 17 Jun 2003 04:41
- Location: Just like US
По-видимому, это не вирус, а спайвар? Зайдите в regedit->HKLM->SOFTWARE->Microsoft->Windows->CurrentVersion->Run and RunOnce и посмотрите что у вас там запускается, или через WinTasks утилиту и т.п. Если не помогает, то дайте хоть имя того с чем боретесь.кошмарик wrote:... якобы удаляется, но стоит выйти их сей мода, все начинается опять. ...
...а мы такой компанией, возьмем, да и припремся к Элис!
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
-
- Уже с Приветом
- Posts: 5192
- Joined: 08 Jul 2002 09:36
- Location: В глухой провинции, у моря...
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
-
- Уже с Приветом
- Posts: 5738
- Joined: 04 Dec 2000 10:01
- Location: MN -> Moscow -> Thailand
-
- Уже с Приветом
- Posts: 2261
- Joined: 17 Jun 2003 04:41
- Location: Just like US
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
Все логи не выложу, долго печатать, а копировать как не знаю. Но вот эта гадость
HKLM\...\Run:[ Desctop search] C;Windows\isrvs\desctop\exe
HKLM\...\Run:[ffis] C;Windows\isrvs\ffisearch.exe
Не знаю в чем причина, но на данный момент гадости не видно, но в логах она есть
HKLM\...\Run:[ Desctop search] C;Windows\isrvs\desctop\exe
HKLM\...\Run:[ffis] C;Windows\isrvs\ffisearch.exe
Не знаю в чем причина, но на данный момент гадости не видно, но в логах она есть
Жизнь бьет ключем.... и все по голове.
-
- Уже с Приветом
- Posts: 5810
- Joined: 16 Feb 2001 10:01
- Location: NJ
-
- Уже с Приветом
- Posts: 5738
- Joined: 04 Dec 2000 10:01
- Location: MN -> Moscow -> Thailand
кошмарик wrote:Все логи не выложу, долго печатать, а копировать как не знаю.
Ну там же слева внизу большая кнопка есть Save Log - сохраняет лог в виде текста.
А Вы их собственный анинсталлер пробовали?
http://toolbar.isearch.com/uninstall/
Ну и наглые же, гады:
Please be aware that many so called "ad ware removers" and "spy ware removers" can cause damage to your computer and may alter your computer in such a way that our automated removal application will not function. At the present time, there is no third party software which is capable of removing iSearch applications. If you have purchased an application which claims to remove iSearch, we encourage you to contact your credit card company and request an immediate reversal with the reason of "Product Not As Described" and/or contact the Better Business Bureau.
Настоящий хомяк в своей жизни должен сделать три вещи: пожрать, поспать и сдохнуть.
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
-
- Уже с Приветом
- Posts: 5738
- Joined: 04 Dec 2000 10:01
- Location: MN -> Moscow -> Thailand
кошмарик wrote:Save Log кнопки у меня нет. У меня версия v1.99.1
Ничего не понимаю. Либо Вы не туда смотрите, либо что-то не то скачали.
У меня та же версия, взято с
http://www.spywareinfo.com/~merijn/index.html
Экран выглядит как на картинке ниже
Кнопочка Save Log появляется после сканирования на месте кнопки Scan
You do not have the required permissions to view the files attached to this post.
Настоящий хомяк в своей жизни должен сделать три вещи: пожрать, поспать и сдохнуть.
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
Я все правильно смотрела. Сейф лог появился только после канирования в другом режиме
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\DrWeb\SpiderNT.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Whisper\My Documents\HijackThis1991.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\tgxxy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tgxxy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tgxxy.dll/sp.html#12345
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe -k
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [StopSignStatus] Rundll32.exe "C:\Program Files\Common Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus /ro
O4 - HKCU\..\Run: [Eyeball Chat] "C:\Program Files\Eyeball\Eyeball Chat\EyeballChat.exe" -min
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: iexplore - lYa3Y.dll (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Program Files\DrWeb\SpiderNT.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe
Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program Files\DrWeb\SpiderNT.exe
C:\WINDOWS\system32\ssoftsrv.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe
C:\PROGRA~1\DrWeb\spidernt.exe
C:\Program Files\DrWeb\spiderml.exe
C:\Program Files\DrWeb\DRWEBSCD.EXE
C:\Program Files\Common Files\Real\Update_OB\realsched.exe
C:\Program Files\Microsoft AntiSpyware\gcasServ.exe
C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
C:\Program Files\QuickTime\qttask.exe
C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Documents and Settings\Whisper\My Documents\HijackThis1991.exe
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = res://C:\WINDOWS\system32\tgxxy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\WINDOWS\system32\tgxxy.dll/sp.html#12345
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = res://C:\WINDOWS\system32\tgxxy.dll/sp.html#12345
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\Userinit.exe
O2 - BHO: IE Update Class - {5B4AB8E2-6DC5-477A-B637-BF3C1A2E5993} - C:\WINDOWS\isrvs\sysupd.dll (file missing)
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Desktop Search] C:\WINDOWS\isrvs\desktop.exe
O4 - HKLM\..\Run: [ffis] C:\WINDOWS\isrvs\ffisearch.exeO4 - HKLM\..\Run: [StopSignStatus] Rundll32.exe "C:\Program Files\Common Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus
O4 - HKLM\..\Run: [webscan] C:\Program Files\Acceleration Software\Anti-Virus\stopsignav.exe -k
O4 - HKLM\..\Run: [SpIDerNT] C:\PROGRA~1\DrWeb\spidernt.exe /agent
O4 - HKLM\..\Run: [SpIDerMail] "C:\Program Files\DrWeb\spiderml.exe"
O4 - HKLM\..\Run: [DrWebScheduler] "C:\Program Files\DrWeb\DRWEBSCD.EXE"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Common Files\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\RunOnce: [StopSignStatus] Rundll32.exe "C:\Program Files\Common Files\eAcceleration\Installer\stopsinfo.dll",VerifyStatus /ro
O4 - HKCU\..\Run: [Eyeball Chat] "C:\Program Files\Eyeball\Eyeball Chat\EyeballChat.exe" -min
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\drwebsp.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/Shar ... vSniff.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/Shar ... /cabsa.cab
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab
O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-l ... cfscan.cab
O18 - Filter: text/html - {950238FB-C706-4791-8674-4D429F85897E} - C:\WINDOWS\isrvs\mfiltis.dll
O20 - Winlogon Notify: iexplore - lYa3Y.dll (file missing)
O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe
O23 - Service: SpIDer Guard for Windows NT (spidernt) - Doctor Web Ltd - C:\Program Files\DrWeb\SpiderNT.exe
O23 - Service: Cryptainer service (ssoftservice) - Cypherix - C:\WINDOWS\SYSTEM32\ssoftsrv.exe
Жизнь бьет ключем.... и все по голове.
-
- Уже с Приветом
- Posts: 4164
- Joined: 03 Dec 2004 10:31
- Location: SFBA, CA
Если бы у меня стояли все те программы, что у вас (судя по логам), я бы застрелился...
Сорри, просто нет слов, чего только люди не ставят на свои компы.
А по теме - идёте на www.iolo.com скачиваете SystemMechanic, инсталлируете, в разделе Manage Windows Startup включаете Startup Guard и потом чистите Ad-Aware_ом и Microsoft AntiSpyware_ом ваш компьютер. Ждёте минут 15 после этого, можете позапускать всякие программы, потом когда всякое гавно полезет себя опять прописывать Startup Guard спросит у вас разрешить или нет, тому чему не надо - не разрешайте.
Перезагрузите машину и ещё раз прочистите её. Неплохо ещё антивирусом пройтись, НОРМАЛЬНЫМ !!!!
P.S. И уберите, пожалуйста, нафиг, Symantec Antivirus c вашего компа (DrWebа туда же). И поставьте www.antivirus.com (aka TrendMicro)
Сорри, просто нет слов, чего только люди не ставят на свои компы.
А по теме - идёте на www.iolo.com скачиваете SystemMechanic, инсталлируете, в разделе Manage Windows Startup включаете Startup Guard и потом чистите Ad-Aware_ом и Microsoft AntiSpyware_ом ваш компьютер. Ждёте минут 15 после этого, можете позапускать всякие программы, потом когда всякое гавно полезет себя опять прописывать Startup Guard спросит у вас разрешить или нет, тому чему не надо - не разрешайте.
Перезагрузите машину и ещё раз прочистите её. Неплохо ещё антивирусом пройтись, НОРМАЛЬНЫМ !!!!
P.S. И уберите, пожалуйста, нафиг, Symantec Antivirus c вашего компа (DrWebа туда же). И поставьте www.antivirus.com (aka TrendMicro)
-
- Уже с Приветом
- Posts: 1305
- Joined: 26 Jun 2002 23:39
- Location: US
-
- Уже с Приветом
- Posts: 4164
- Joined: 03 Dec 2004 10:31
- Location: SFBA, CA
кошмарик wrote:Symantec AntivirusА у меня нет. Я просто делала онлайн сканирование этим антивирусом. Вернее пыталась. TrendMicro вообще не пашет.
Купленная программа не инсталлируется?
Или он-лайн сканер не работает? Может у вас XP стоит и в нём включенна popups блокировка или активэкс запрещён? Тогда, да, он-лайн работать не будет.
-
- Уже с Приветом
- Posts: 4164
- Joined: 03 Dec 2004 10:31
- Location: SFBA, CA
-
- Уже с Приветом
- Posts: 5738
- Joined: 04 Dec 2000 10:01
- Location: MN -> Moscow -> Thailand
Боюсь, что ни антивирусы, ни гарды против этой фигни не помогут, эти гады использовали какое-то ноу-хау, которое пока не ловится.
Попытайтесь убрать заразу их же анинсталлером! Думаю, это должно сработать.
В списке программ не вижу ничего особенного. У меня, пожалуй, даже побольше фигни всякой будет
Попытайтесь убрать заразу их же анинсталлером! Думаю, это должно сработать.
В списке программ не вижу ничего особенного. У меня, пожалуй, даже побольше фигни всякой будет
Настоящий хомяк в своей жизни должен сделать три вещи: пожрать, поспать и сдохнуть.
-
- Уже с Приветом
- Posts: 2261
- Joined: 17 Jun 2003 04:41
- Location: Just like US
Против лома нет приема: если потереть их ехе-шники и не давать експлореру, или чему там еще, лезть на их сайт переинсталлироваться, (закрыть фаерволом доступ к isearch.com) то само это г... не возродится, не взирая ни на какие ноу-хауShin wrote:Боюсь, что ни антивирусы, ни гарды против этой фигни не помогут, эти гады использовали какое-то ноу-хау, которое пока не ловится.
...а мы такой компанией, возьмем, да и припремся к Элис!