компутер рвется в мир...

[bdn135]

Проблема в следующем: периодически комп начинает активно стучаться в сеть... При прогоне AVZ ругнулась на файлик spdt.sys в папке win/system32/drivers/ и удалила ее, но кроме этого находит несколько руткитов, которые никуда не деваются после ее лечения

[V_Bond]

ничего сильно вредного не вижу ... поставте фаервол .... посмотрите скорее какае-то вполне безобидная програмка лезет за обновлениями ...
программы вроде как PC-Lock, Password, mFormat имеются ? (сервис UFDSVC)

[drongo]

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
 QuarantineFile('C:\Documents and Settings\All Users\Документы\NOD32view\NOD32view.exe','');
 QuarantineFile('c:\windows\System32\DRIVERS\tcpip.sys','');
 QuarantineFile('c:\windows\system32\drivers\wf88vcap.sys','');
 BC_ImportAll;
 BC_Activate;
 RebootWindows(true);
end.

Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=14406

или нод или антивир удалить , нельзя чтобы были оба .

[bdn135]

нет такого. Был cachemanxp, - его тоже как руткит видели- так он спокойный, никуда не лезет. А кто-то рвался так, что шлюзовый сервер вешал... может, не от меня? а на spdt.sys взглянуть не хотите? я его заархивил

Добавлено через 1 минуту

а монитор отключить- не хватит?

[V_Bond]

spdt.sys - от "Daemon Tools" .... просто повадки у него такие ...

[Numb]

В дополнение: версия Hijackthis старая - скачайте новую по ссылке в правилах и повторите лог Hijackthis, пожалуйста.
Скрипт от drongo выполнили? Если да, то карантин AVZ загрузите по ссылке http://virusinfo.info/upload_virus.php?tid=14406

[PavelA]

Один из двух антивирусов надо удалять. Nod32 & Antivir - многовато будет.

[bdn135]

"по полной программе"? сейчас сделаю. Вспомнил еще проблемку: комп в безопасном режиме не грузится- доходит до промаргивания клавы и остается с мигающим ДОС-курсором на экране...

[PavelA]

Подожди подольше, а лучше все-таки убери один антивирус.

[bdn135]

ладно, подожду
тогда что снести, посоветуйте: вот дилемма- нод траффик ПОП смотрит, а авира-просто посерьезней будет

[PavelA]

Я бы оставил того, который лицензионный.

[bdn135]

а вот и логи

[PavelA]

Обшибся я. Их у тебя трое живет. Вот:

O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

Из автозагрузки удали: C:\Documents and Settings\All Users\Документы\NOD32view\NOD32view.exe

[bdn135]

клам- честный бесплатный и безмониторный
нод- почти честный, с ключами непосредственно от ЭСЭТа (думаю, отключения его монитора достаточно будет?или...)
авира- честно бесплатная
а чем, если не секрет, нодвьювер мешает? он мне зеркальце создает для флэшки...

[PavelA]

В логе Хиджака смотрим: два сервиса от Авира + сервис Нода. У Нода еще сидит модуль в ядре. У Авиры тоже наверняка что-то в ядре сидит.
Можно в AVZ посмотреть. Так что отключения монитора Нода недостаточно будет.

Про NOD32view.exe не знал,виноват , больно у него уж подозрительное имя. Оставляем.

Остаток Макафи McAfeeFramework - пустой сервис надо удалить.

[bdn135]

гут
попробую
отпишу

[drongo]

bdn135,Где карантин?

[bdn135]

извиняюсь, дослал

Добавлено через 1 минуту

в смысле, сейчас грузится

[bdn135]

короче, снес Авиру. Нод перестал каждый раз находить нью хевр ПэЙэ- вирус при загрузке (это он так авиру видел)
Сейчас тишина. Пока. Надо будет в локалке найти машину, с которой траффик сыпался наружу...
Да, г-н Дронго интересовался карантином- ничего интересного не заметило его всевидящее око, хотелось бы узнать? а то сомнения у меня маааленькие, но остались...

[V_Bond]

Вредоносный код в файлах не обнаружен.