Лечение от y2.dll

Здравствуйте. NOD нашел троян y2.dll. Троян похоже прописался в цепочку интернет соединения, как сетевой модуль. Удалил y2.dll, но при этом не работает интернет соединение. Почитал тему [URL]http://virusinfo.info/showthread.php?t=11170[/URL] нашел еще в папке windows: папку wt и в Program Files: папку WildTangent. Убрал их от туда. Причем в автозагрузке были записи на приложения из этих папок - тоже убрал. В windows нашел exe-шник со случайным названием и датой создания такой же как и у y2.dll - убрал. Это то что было сделано. Но остается вопрос как востановить правильное интернет соединение? Нужно ли выполнять скрипты, которые приведены в [URL]http://virusinfo.info/showthread.php?t=11170[/URL] (или в похожей теме [URL]http://virusinfo.info/showthread.php?p=120045[/URL]) - они как я понял просто удаляют троян и то что он с собой притащил? Можно ли ограничится установкой WinSockFix? Подскажите пожалуйста. P.S. Странно, но сообщение идет с форматированием и без разбивки на абзацы? или потому что скрипты отключены на серваке?

Сделайте логи,по [URL="http://virusinfo.info/showthread.php?t=1235"]правилам[/URL] чтобы произвести полное лечение вашего компьютера.
Скрипты из других тем выполнять нельзя,для каждой проблемы свои индивидуальные скрипты.

Вот логи.

Сделаны при удаленных файлах из system32: y2.dll, ipv6mons.dll, u9b9xhfe.exe. Два последних иеммют дату создания такую же как и y2.dll и не имеют никаких подписей производителей.

Для выхода в интернет приходиться возвращать y2.dll в папку system32, иначе браузер не открывает страницы.

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните[/URL] скрипт в AVZ[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('D:\WINDOWS\System32\y2.dll','');
QuarantineFile('D:\WINDOWS\System32\dae.dll','');
QuarantineFile('D:\WINDOWS\System32\ipv6mons.dll','');
DeleteFile('D:\WINDOWS\System32\ipv6mons.dll');
DeleteFile('D:\WINDOWS\System32\dae.dll');
DeleteFile('D:\WINDOWS\System32\y2.dll');
AutoFixSPI;
BC_ImportALL;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
[URL="http://www.virusinfo.info/showthread.php?t=4491"]"Пофиксите"[/URL] в HijackThis [CODE]O2 - BHO: (no name) - {73364D99-1240-4dff-B12A-67E448373148} - D:\WINDOWS\System32\ipv6mons.dll (file missing)
O2 - BHO: Response Class - {81A99149-F047-4090-8AAD-D11FF4EFB734} - D:\WINDOWS\System32\dae.dll (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WINDOWS\web\related.htm
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - file://E:\Distr\Disk\main\swflash.cab[/CODE]
Загрузите карантин по [URL="http://virusinfo.info/upload_virus.php?tid=11500"]этой[/URL] ссылке. Повторите логи.

[COLOR="Red"][B]Внимание! После выполнения скрипта может пропасть связь с интернет. Чтобы её восстановить, скачайте заранее утилиту[/B][/COLOR] [URL="http://www.tacktech.com/pub/winsockfix/WinsockFix.zip"]WinSockFix[/URL]. Утилита WinSockFix сбрасывает настройки сети. Крайне желательно их записать/запомнить.

Вот логи после выполнения AVZ скрипта.

Сеть востановил с помощью WinSockFix, при этом настройки сети не пропадали.

Файл карантина отправлен на [email][email protected][/email]

Вверх.
?

D:\WINDOWS\System32\y2.dll - Trojan.Sespy (DrWeb)
Других файлов в карантине нет.
Проблема решена?

Поищите файл "D:\Program Files\Restator251\Restorator.exe", если найдется, пришлите.

SP2 на WINDOWS надобы установить.
Будете еще пользоваться AVZ - не забывайте обновлять ее базы.

Спасибо.
На мой взгляд проблема с сетью решена. Но просили прислать карантин и логи для проверки.

По поводу SP2 - опасаюсь ставить :)

Поясните пожалуйста зачем нужен Restorator.exe. Такой файл есть, но ни NOD. ни Dr.Web в нем ничего не находят да и весит он 1,1 Mb.

И еще хотел спросить. правда немного не по теме. Компьютер последнее время ведет себя несколько странно при загрузке. После того как появился рабочий стл, все значки и т.п., вроде бы загрузка должна быть закончена. Но смотришь диспетчер задач, а explorer.exe продолжает что-то делать - загрузка до 60%, на протяжении 15-20 сек, при этом самому делать ничего невозможно. После все приходит в норму.
Ранее такого не наблюдалось. Может быть это вызвано каким-то вирусом?

[QUOTE='GoodBear;127330']По поводу SP2 - опасаюсь ставить[/QUOTE]
и зря.. ваша система практически беззащитна без обновлений ...
[QUOTE='GoodBear;127330']Поясните пожалуйста зачем нужен Restorator.exe. Такой файл есть, но ни NOD. ни Dr.Web в нем ничего не находят да и весит он 1,1 Mb.[/QUOTE]
если вы сами ставили программу Restorator ... тогда не нужно ...
ну и логи все же стоит повторить....

Restorator ставил сам.

повторяю логи.

в логах ничего зловредного не замечено ....

[B]V_Bond [/B]
[QUOTE]в логах ничего зловредного не замечено ....[/QUOTE]
это и странно...

Всем спасибо большое за помощь!

Ничего странного,был зловред и мы его удалили ;)
Не забудьте про рекомендации, о SP2.
Рекомендую работать под пользователем с ограниченными правами.
По возможности не использовать Internet Explorer,а пользоваться другими браузерам,например Opera,Firefox (с отключенными java скриптами,разрешая их выполнения только доверенным сайтам)
Советуем прочитать [URL="http://security-advisory.newmail.ru/"]электронную книгу[/URL])"Безопасный Интернет. Универсальная защита для Windows ME - Vista".
Вы можете нас отблагодарить,[URL="http://www.virusinfo.info/showthread.php?t=3519"]оказав нам помощь в сборе базы безопасных файлов.[/URL] Мы будем Вам очень благодарны!

Удачи!

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] d:\\windows\\system32\\y2.dll - [B]Trojan-Downloader.Win32.Agent.but[/B] (DrWEB: Trojan.Sespy)[/LIST][/LIST]