что-то с y2.dll

Printable View

19.07.2007, 18:18
SePa

Вложений: 3

что-то с y2.dll

Проблема началась сегодня утром,загружаю комп и вот как загрузился нод32 сразу подозрение на вирус выдал и предложил удалить файл y2.dll, я удалил он сказал, что нужно перезагрузить комп->перезагружаю->опять ток загрузился и опять обнаружен этот файл).В инет выходить не хочет, пишет не найдена страница,аська/скайп тож не подключаются(инет сам рабочий с другого компа пишу всё ок) помогите плз...

и ещё нодвыдаёт такое некоторые файлы не пригодны для анализа. C:\System Volume Information\_restore{389A-46C8-B8FF-44DC-9372-31BEA255FA41}\RP391\A1294835.dll
19.07.2007, 18:50
drongo

Хм . Восстановление системы на всех дисках отключить, было сказно в правилах.
Приготовьте инсталяционный пакет вашего нода или другой антивирус. В любом случае придёться переставлять.
Скачайте [url]http://virusinfo.info/showthread.php?t=10267[/url] Сейчас напишу план лечения.
19.07.2007, 18:55
SePa

[B]drongo[/B], вроде бы отключил все восстановления:embarasse переделать или не надо?

З.Ы. там вроде написано если слетела сеть после лечения, а у меня до
19.07.2007, 19:33
drongo

План такой :
1)отключиться от интернета
2)удалить стандартно антивирус нод.
3)AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\y2.dll','');
QuarantineFile('C:\WINDOWS\SYSTEM\Mra.EXE','');
QuarantineFile('C:\WINDOWS\pxwma.dll','');
QuarantineFile('I:\фильмы\Copland2.0\Game Accelerator\gamexl.exe','');
QuarantineFile('E:\Games\Новая папка\Steam.exe','');
QuarantineFile('C:\PROGRA~1\Pinnacle\PPE\PPE.EXE','');
QuarantineFile('C:\PROGRA~1\AWS\MiniBug.exe','');
QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\3710575.exe','');
QuarantineFile('C:\Program Files\t0\t0.dll','');
DeleteFile('C:\Program Files\t0\t0.dll');
DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\3710575.exe');
DeleteFile('C:\WINDOWS\System32\y2.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.
[/code]
4)Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )если остануться конечно:
[code]
R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINDOWS\SYSTEM\MraSearch.dll (file missing)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - C:\Program Files\t0\t0.dll (file missing)
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\F942~1\LOCALS~1\Temp\3710575.exe
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\t0\t0.dll (file missing)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\t0\t0.dll (file missing)
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\WINDOWS\SYSTEM\Mra.EXE (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\y2.dll' missing
O13 - DefaultPrefix: http://htpp.ws?
O13 - WWW Prefix: http://htpp.ws?
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl152bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -
[/code]
5)Сделать новые логи по правилам.

6)установите антивирус и подключитесь к интернету, если инета не будет- воспользоваться утилитой [url=http://virusinfo.info/showthread.php?t=10267]winsockfix[/url], которую [B]ранее [/B][B]скачали[/B]. Не забудте перед этим все настройки сети на бумажку записать.
7)Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=11170[/url]
Присоеденить к теме новые логи, которые должны были сделать в пункте 5 данного плана.

[size="1"][color="#666686"][B]Добавлено через 20 минут[/B][/color][/size]
[QUOTE='SePa;123724']
и ещё нодвыдаёт такое некоторые файлы не пригодны для анализа. C:\System Volume Information\_restore{389A-46C8-B8FF-44DC-9372-31BEA255FA41}\RP391\A1294835.dll[/QUOTE]
нод ругаеться именно на файлы сохранённые службой восстановления системы, при отключении оной, должен перестать ругаться.
Также хочу отметить, что лечение временно, без SP2 на виндоусе и пару сотен заплаток после неё, через некоторое время ещё что-нибудь схватить можно . Правда кряк reset5 уже не сработает.
19.07.2007, 20:13
SePa

хм...делаю новые логи, доходит до сканирования дисков и идёт на перезагрузку..что делать?
19.07.2007, 20:30
drongo

Странно... Без установленного нода логи делаете ? Почистите временные файлы. Если не поможет, попробуйте из safe mode+[url]http://virusinfo.info/showthread.php?t=10387[/url]
19.07.2007, 21:01
SePa

Вложений: 3

вот новые логи
19.07.2007, 21:18
SePa

объясните пожалуйста, как пользоваться программой WinSockFix и какие настройки переписать на бумажку, а именно что сначала в проге нажать Fix или ReG-Backup ?
19.07.2007, 23:13
drongo

SePa, я же написал "Если" . А интернет на этом компютере исчез или нет ? Вроде должен работать судя по логам.Если работает, то данной утилитой пользоваться [B]не надо[/B]. На будущее, сначало нажать конечно на ReG-Backup ;) Я имел ввиду настройки по которым идёт подключение к провайдеру, у каждого по разному ;)

вернёмся к нашим баранам :
надо добить вашу коллекцию гадости :
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\Program Files\t0\t0.dll');
DeleteFile('C:\Program Files\WildTangent\Apps\CDA\CDALogger0402.dll');
DeleteFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]

[size="1"][color="#666686"][B]Добавлено через 1 минут[/B][/color][/size]
Затем удалить папки[B] WildTangent[/B] и[B] wt [/B]полностью.
После, можно почистить компьютер от остаточного мусора с вашим TuneUp
20.07.2007, 14:03
SePa

всё заработало=) спасибо большое=) сейчас буду добивать=)

P.S. инет стал работать только после использования программы.
22.02.2009, 02:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]21[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]