Страный Трафик Часть 2

эх опять я :( теперь вообще фиг знаеш что. касперский отказывается проверять компьютер! нажимаю полную проверку а он 1% и всё. и на компе 100% есть вирус или даже многа :( сёдня было такое, врубил инет он написал скачать фаел с [URL=":http:www.google.com.ua"]www.google.com.ua[/URL] маленький какойта 78кб я отменил, и пошол начал тормозить комп на рабочем столе стали пооявлтся всякие файлы один из них был exe расширения svchost_t что-та в этом роде! и нашол вирус троян давенлодер. вот логи :( и всёравно начел качать чтота с инета :(

[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]R1 - HKLM\Software\Microsoft\Internet Explorer,SearchURL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://internetsearchservice.com
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://internetsearchservice.com/ie6.html
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://internetsearchservice.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://internetsearchservice.com
F2 - REG:system.ini: Shell=Explorer.exe "C:\WINDOWS\system32\hfrm472.exe"
O2 - BHO: 158117 helper - {427b1fd8-2123-4334-a7d8-7a497363914b} - C:\WINDOWS\system32\158117\158117.dll (file missing)
O4 - HKLM\..\Run: [runwinlogon] C:\WINDOWS\winlogon.exe
O4 - HKLM\..\Run: [svhost] C:\WINDOWS\System32\drivers\svchost.exe
O23 - Service: CcEvtSvc - Unknown owner - C:\WINDOWS\System32\CcEvtSvc.exe (file missing)
O23 - Service: Google Online Services - Unknown owner - C:\Documents and Settings\LENA\ie_updates3r.exe
[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\winlogon.exe');
TerminateProcessByName('c:\windows\system32\drivers\svchost.exe');
TerminateProcessByName('c:\documents and settings\lena\ie_updates3r.exe');
DelBHO('{92860A02-4D69-48c1-82D7-EF6B2C609502}');
DelBHO('{427b1fd8-2123-4334-a7d8-7a497363914b}');
DeleteService('CcEvtSvc');
DeleteService('Google Online Services');
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
QuarantineFile('C:\WINDOWS\system32\158117\158117.dll','');
QuarantineFile('C:\WINDOWS\herjek.exe','');
QuarantineFile('C:\WINDOWS\system32\hfrm472.exe','');
QuarantineFile('C:\WINDOWS\System32\CcEvtSvc.exe','');
QuarantineFile('C:\WINDOWS\winlogon.exe','');
QuarantineFile('C:\WINDOWS\System32\drivers\svchost.exe','');
QuarantineFile('C:\Documents and Settings\LENA\ie_updates3r.exe','');
QuarantineFile('c:\windows\winlogon.exe','');
QuarantineFile('c:\windows\system32\drivers\svchost.exe','');
QuarantineFile('c:\documents and settings\lena\ie_updates3r.exe','');
DeleteFile('c:\documents and settings\lena\ie_updates3r.exe');
DeleteFile('c:\windows\system32\drivers\svchost.exe');
DeleteFile('c:\windows\winlogon.exe');
DeleteFile('C:\Documents and Settings\LENA\ie_updates3r.exe');
DeleteFile('C:\WINDOWS\System32\drivers\svchost.exe');
DeleteFile('C:\WINDOWS\winlogon.exe');
DeleteFile('C:\WINDOWS\System32\CcEvtSvc.exe');
DeleteFile('C:\WINDOWS\system32\hfrm472.exe');
DeleteFile('C:\WINDOWS\herjek.exe');
DeleteFile('C:\WINDOWS\system32\158117\158117.dll');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки закачайте карантин [URL="http://virusinfo.info/upload_virus.php?tid=23757"][COLOR="Red"][B]тут[/B][/COLOR][/URL] , повторите 3 лога.
PS: Если и Вы и дальнейшем собираетесь лазить с Интернет Эксплорером, непатченой системой и устаревшей Джавой где ни попадя - скажите это сразу нам: получите в нашей больнице одельную палату со спецпайком ;)

Файл сохранён как080530_132912_virus_484047784243e.zip воть. new логи щас делать буду :) вот думаю какой браузер защищеней? а джаву скачаю. а вот с виндоусом я не понял :( мне новый надо? или как его пропатчить у меня пиратка :(

делая п.8 я наткнулся на вирусы :) я их давно ещё видел ;) и я их Delete :P вот они

[COLOR="Red"]C:\Program Files\Audiosurf\engine\channels\MusicBrainz_FetchCD.dll >>> подозрение на Trojan-Downloader.Win32.Small.dxv ( 0BA4E83C 03850A14 003DF1D0 003DF1D0 31744)[/COLOR]
Файл успешно помещен в карантин (C:\Program Files\Audiosurf\engine\channels\MusicBrainz_FetchCD.dll)
[COLOR="Red"]C:\Program Files\DivX\DivX Converter\dpil100.dll >>> подозрение на AdvWare.Win32.NewWeb.i ( 00707F72 00000000 001AEEF2 001AFFE8 61440)[/COLOR]
Файл успешно помещен в карантин (C:\Program Files\DivX\DivX Converter\dpil100.dll)

вот ещё какойта странный его тоже делет!

[COLOR="Red"]C:\WINDOWS\system32\H@tKeysH@@k.DLL >>>>> RiskWare.CrackTool.Win32.HotHook.dll удаление запрещено настройкой[/COLOR]

а вот другие трояны я так понел они в реестре,туда суватся я боюсь :(

щас пришлось новый лог делать.

ну вот. в этот ра чёд долго было :(

Системное восстановление нужно [B]отключать[/B] и не включать до конца терапии!!!
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteService('sywtdxaz');
QuarantineFile('C:\Documents and Settings\LENA\Мои документы\wzombi\wzombi\keygen.exe','');
QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP164\A0116814.DLL','');
QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP233\A0155475.exe','');
QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP243\A0161417.dll','');
QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162572.dll','');
QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162573.dll','');
QuarantineFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162574.DLL','');
QuarantineFile('C:\WINDOWS\system32\sywtdxaz.sys','');
QuarantineFile('C:\Program Files\Internet Explorer\SETUPAPI.dll','');
DeleteFile('C:\Program Files\Internet Explorer\SETUPAPI.dll');
DeleteFile('C:\WINDOWS\system32\sywtdxaz.sys');
DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162574.DLL');
DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162573.dll');
DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP244\A0162572.dll');
DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP243\A0161417.dll');
DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP233\A0155475.exe');
DeleteFile('C:\System Volume Information\_restore{05E9F214-9505-4ED3-A9A2-3FD5342ADC50}\RP164\A0116814.DLL');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/CODE]
После перезагрузки закачайте карантин [URL="http://virusinfo.info/upload_virus.php?tid=23757"][COLOR="Red"][B]тут[/B][/COLOR][/URL] , повторите 3 лога.
[QUOTE]вот думаю какой браузер защищеней?[/QUOTE]
Mozilla Firefox, Sea Monkey, Opera - хоть все три вместе.
[QUOTE]а джаву скачаю[/QUOTE]
Это хорошо
[QUOTE]а вот с виндоусом я не понял :( мне новый надо? или как его пропатчить у меня пиратка :([/QUOTE]Пропатчить надо обязатально.По-моему СП3 можно в оффлайне и в Вашем варианте поставить, но ИМО потербуется новая активация.

ну вот :) вроде нечего нет, ещё раз спасиба вам :>

Где карантин? Почему Джаву не обновили - оно активации не требует?

забыл написать! какой карантин? за сегодннешний? или вчерашний? а джаву чёт найти немагу =(
джаву нашол по вашей сылке, в старой теме.

[QUOTE=Анапчанен;234543]забыл написать! какой карантин? за сегодннешний? или вчерашний?[/QUOTE]
Все, какие создались в папке QUARANTINE