Компьютер тормозит и перестал выходить в инет

[Old_Angel]

Здравствуйте, проблема у меня случилась с пойманым вирусом, которого не словил не NOD32 и не смог вычистить Outpost.

Модифицированный Win32/Rootkit.Agent.DP
Модифицированный Win32/Rootkit.Agent.EY

Как ни стараюсь, не могу вычистить, комп тормозит, флешку читает так медленно, что можно подумать, что ей хана.

Комп переодически не выключается, т.е. только ресетом, и напоследок перестал выходить в инет.

Надеюсь поможете, спасибо!

[drongo]

Инета не стало из -за некорректного удаления аутпоста.


1.Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )

Код:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Documents and Settings\Saveliy\Application Data\Mra\Update\mrasearch.dll

2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
 BC_QrFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_QrFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_QrFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
 BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
 BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
 BC_DeleteSvc('runtime');
 BC_DeleteSvc('runtime2');
 BC_DeleteSvc('Ip6Fw');
 ExecuteRepair(6);
 ExecuteRepair(9);
 ExecuteRepair(14);
 BC_Activate;
 RebootWindows(true);
end.

если инет не появиться, тогда выполнить после такой:

Код:

begin
 ExecuteRepair(15);
 BC_Activate;
 RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=12907

[Old_Angel]

Прошу прощения, не совсем точно сказал, в системе стоит NOD32 и Comodo, который не только не спас, но и сейчас у него выключены все сервисы и не включаются, а Outpostom Security Site я проверял с другого компа вытащив хард.

А интернет пропал после сделанных процедур логов. Т.е. он соединяется но ничего не грузиться.

Добавлено через 25 минут

Но после отправки страница не найдена, мне кажется файл virus.zip не отправлен..

Но интернет появился, сейчас с него работаю

Но Nod32 кричит следующее:
c:\windows\system32\drivers\ip6fw.sys - модифицированный Win32/Rootkit.Agent.DP троян

[PavelA]

Грузите карантин на вирусообменник, хотя бы still.ru.
потом перезальем на место.

На время проверок надо отключать Nod32

[drongo]

Не надо лохматить бабушку АВЗ никак не может вредить настройкам сети при сканировании.
А вот доказательство :

Код:

Ошибка LSP Protocol = "agnitum TCP protocol filter" --> отсутствует файл C:\Program Files\Agnitum\Outpost Security Suite\lspfilt.dll
Ошибка LSP Protocol = "agnitum UDP protocol filter" --> отсутствует файл C:\Program Files\Agnitum\Outpost Security Suite\lspfilt.dll
Ошибка LSP Protocol = "agnitum Raw IP protocol filter" --> отсутствует файл C:\Program Files\Agnitum\Outpost Security Suite\lspfilt.dll

то есть Outpost Security Suite ставился на систему и был плохо удалён, иначе сложно объяснить откуда эти записи.
Кстати, мы не закончили. Ждём карантина- потом продолжим. Также рекомендую снести антивирус нод, потом поставите после лечения.

[Old_Angel]

Файл карантина сохранён как071004_035346_virus_4704aa1a9f019.zipРазмер файла8979MD55781b0df1078ec981d747f8c4baafb60

Действительно Outpost стоял, но давно был удален и забыт, и он никогда не мешал вроде

Добавлено через 9 часов 56 минут

Работал сегодня вроде сносно, но теперь снова Comodo умер

[Old_Angel]

Про меня наверное забыли..

[drongo]

Ну если комодо умер, то удалить его . Сделать новые логи, посмотрим что осталось из вашего зверинца
P.S.То что вы прислали- почему то один файл dta (В присланном Вами файле allradioclose.exe не найдено ничего вредоносного.) и 2 ini для меня загадка А где собственно остальные, я больше в скрипте писал. вы за другое число посылали

[Old_Angel]

Ну да, действительно, есть карантин за следующий день, сейчас пришлю. А меньше наверно потому, что я чистил в тот день хард на другом компе, но одна зараза никак не удаляется, восстанавливается. Она то и достает )) сейчас пришлю новый карантин, спасибо.

Добавлено через 1 час 20 минут

Карантин после последнего сканирования прислал
Файл сохранён как071006_030741_virus_4707424d6beba.zipРазмер файла8592
MD58ade824f6db0cc1daf53a26cde7f79a6

сейчас пришлю логи.

[Old_Angel]

Вот и логи.

[Bratez]

1. Пофиксите в HijackThis:

Код:

O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe

2. Очистите временные файлы IE.

3. Посмотрите, что реально нужно из этого:

Код:

>> Службы: разрешена потенциально опасная служба RemoteRegistry (Remote Registry)
>> Службы: разрешена потенциально опасная служба TermService (Terminal Services)
>> Службы: разрешена потенциально опасная служба SSDPSRV (SSDP Discovery Service)
>> Службы: разрешена потенциально опасная служба Schedule (Task Scheduler)
>> Службы: разрешена потенциально опасная служба mnmsrvc (NetMeeting Remote Desktop Sharing)
>> Службы: разрешена потенциально опасная служба RDSessMgr (Remote Desktop Help Session Manager)
> Службы: обратите внимание - набор применяемых на ПК служб зависит от области применения ПК (домашний, ПК в ЛВС компании ...)!
>> Безопасность: разрешен автозапуск программ с CDROM
>> Безопасность: разрешен административный доступ к локальным дискам (C$, D$ ...)
>> Безопасность: к ПК разрешен доступ анонимного пользователя

(остальное поправим).

[Old_Angel]

Все сделал.
Мне не нужны эти все сервисы, если только запуск CD-ROM нужен.

[Bratez]

Вот скрипт для отключения ненужного:

Код:

begin
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\LanmanServer\Parameters','AutoShareWks', 0);
SetServiceStart('RDSessMgr', 4);
SetServiceStart('mnmsrvc', 4);
SetServiceStart('Schedule', 4);
SetServiceStart('SSDPSRV', 4);
SetServiceStart('TermService', 4);
SetServiceStart('RemoteRegistry', 4);
RebootWindows(true);
end.

[Old_Angel]

Все, выполнил, теперь логи делать?

[V_Bond]

Лечение закончено ....
Советуем прочитать электронную книгу "Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить, оказав нам помощь в сборе базы безопасных файлов. Мы будем Вам очень благодарны!

[Old_Angel]

Даже не верится.. Спасибо огромное, и я внесу свой вклад.
Огромная благодарность, я уже думал клон надо вешать.

Добавлено через 1 час 30 минут

Может не в тему, но мне кажется здесь удобнее задать вопрос.
По поводу оказав нам помощь в сборе базы безопасных файлов.

Файл у меня получился 22 метра, а там написано, что не более 20, как отправить? Я то залью, но как, порезать файл?

[V_Bond]

разбейте на два архива ....

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 2
• Обработано файлов: 3
• В ходе лечения вредоносные программы в карантинах не обнаружены