Printable View
Интернет плохо работает, неоткрываются exe файлы,аваст не работал, просканил полностью систему, прилагаю логи(нашел Trojan.DountLoader1(какие то там цифры) 22569 чтоли...и еще в логах авз NotAVirus тоже присутсвует, спасите меня)
+Hosts модернизирован.
прошу вас ответьте быстрее, сижу через сафари, в опере невозможно работать...
:O
Сделал на свякий случай Gmer+MBAM.
P.S:Незря скачал, в MBAM-14заражений
Выполните скрипт в AVZ:
[code]
begin
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=90780[/url]).
Поставьте правильную системную дату (год).
эм, дата стоит 30.10.10. а что какая то другая?
[b]Отключите восстановление системы![/b]
Удалите в MBAM:
[QUOTE]C:\Program Files\ABuse.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\Adv.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\PDLL.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\Purifier.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\PurifierA.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\PurifierAD.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\rdmex.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\StringLoader.dll (Spyware.OnlineGames) -> No action taken.
C:\Program Files\StringLoaderA.dll (Spyware.OnlineGames) -> No action taken.[/QUOTE]
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
[QUOTE=SpbDanse;726070]эм, дата стоит 30.10.10. а что какая то другая?[/QUOTE]
Вот из лога AVZ:
[QUOTE]Сканирование запущено в 29.10.[COLOR="Red"][B]2009[/B][/COLOR] 21:46:10[/QUOTE]
Вы ничего не перепутали?
[size="1"][color="#666686"][B][I]Добавлено через 54 секунды[/I][/B][/color][/size]
+
[QUOTE]Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 21:55:56, on 29.10.[COLOR="Red"][B]2009[/B][/COLOR][/QUOTE]
+, я исправил, логи просто делал часа 2 назад.
[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]
скрипт выполнил, дальнейшие действия? что было хотябы, что за гадость?
Карантин пришлите.
странно, у меня почему то не сохранились файлы в MBAM... или я просто ненашел их
просканирую щас еще раз, и удалю.
сделал
В карантине нет того, что надо.
Интересует файл C:\WINDOWS\System32\Drivers\sptd.sys, который карантинился скриптом. Попробуйте его вручную запаковать в zip с паролем [I]virus[/I].
Для загрузки карантина есть красная ссылка вверху темы.
эээм... кроме этого, другого нету, а пробить просто поиском можно, наити то есть?
Просто в папочку зайдите [B]C:\WINDOWS\System32\Drivers[/B] и файл [B]sptd.sys[/B] запакуйте.
незапаковать, пишет занят другим процессом
В безопасном режиме попробуйте.
кстати, щас опять прогнал MBAM. только 1 инфецированный пока что.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
[QUOTE=Bratez;726084]В безопасном режиме попробуйте.[/QUOTE]
Я просто, Неособо в компах, Через F8?
[QUOTE='SpbDanse;726085']Через F8?[/QUOTE]Да.
в мбам 2 RiskWare.Tool.CK, Malware.Tool(1) удалить?
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
Зараженные файлы:
C:\Documents and Settings\вова\Local Settings\Temp\ir_ext_temp_0\AutoPlay\Docs\KeyGen.exe (Malware.Tool) -> Not selected for removal.
D:\System Volume Information\_restore{B3891654-E339-4464-B836-B03B83D24B59}\RP14\A0000532.dll (Riskware.Tool.CK) -> Not selected for removal.
D:\System Volume Information\_restore{B3891654-E339-4464-B836-B03B83D24B59}\RP15\A0000641.dll (Riskware.Tool.CK) -> Not selected for removal.
ВОТ ЧТО осталось
[QUOTE='SpbDanse;726089']в мбам 2 RiskWare.Tool.CK, Malware.Tool(1) удалить?[/QUOTE]
Кейген - дело ваше личное, файлы в System Volume Information должны были удалиться при отключении восстановления системы. Так-то удаляйте конечно.
[size="1"][color="#666686"][B][I]Добавлено через 25 секунд[/I][/B][/color][/size]
Что там с sptd.sys?
в безопастном нахожусь,sptd.sys с сетевыми драиверами, успешно загрузился, уже радует,:)
ищу файлик
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
нашел, таже хреномантия... что за емае(
пишет занят другим процессом
Попробуйте в командной строке набрать
[B]SC STOP SPTD[/B]
и нажать [I]Enter[/I].
Если будет ответ SUCCESS, то тогда должен заархивироваться.
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
Также попробуйте таким скриптом, может все-таки попадет в карантин AVZ:
[CODE]begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\Drivers\sptd.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/CODE]
Через Выполнить?
или как то по другому
[size="1"][color="#666686"][B][I]Добавлено через 30 секунд[/I][/B][/color][/size]
пробуемс.
[QUOTE='SpbDanse;726099']Через Выполнить?[/QUOTE]
Через Выполнить набираете [B]cmd.exe[/B], открывается окно командной строки...
после выше написанного: [SC] ControlServise FAILED 1062
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
скрипт-тажа фигня, нет карантина... Что будем пробовать еще?))
Зы:В Питере 5 час утра.. :D
Хочется Спать,Но Доделаю Дело)
[size="1"][color="#666686"][B][I]Добавлено через 5 минут[/I][/B][/color][/size]
есть! есть файл! о боже как йа рад....
Можно например сделать копию при помощи любого загрузочного CD, позволяющего работать с файлами на жестком диске.
Мне убегать пора. Отдыхайте уж наверно, потом продолжим. Может кто-то из хелперов еще что-нибудь подскажет.
[size="1"][color="#666686"][B][I]Добавлено через 28 секунд[/I][/B][/color][/size]
[QUOTE='SpbDanse;726102']есть! есть файл! о боже как йа рад....[/QUOTE]
О как! Ну давайте глянем.
победа за User'om :)
причем что удивительно, батя говорит все было зашибись, а я приехали и такая Большое глубокое Дно (____) :)))
Подозрения напрасны. Файл безвредный.
дык чтож тогды тормозит мой интернет на опере? зы: когда сканировал др вебом-писал в конце что Хостс модернизирован, мб в нем дело?
В логах больше ничего подозрительного нет, в hosts тоже все нормально.
[size="1"][color="#666686"][B][I]Добавлено через 29 секунд[/I][/B][/color][/size]
А другие браузеры не тормозят?
ладно, поиду действительно спать. темку незакрывайте, завтра поглядим что будет, потому что неочень хочется получить "по голове" от бати...
[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]
нет не тормозят, если только чуть чуть
[size="1"][color="#666686"][B][I]Добавлено через 11 часов 39 минут[/I][/B][/color][/size]
господа, а между тем новые подробности)) в System Volume Information-4 exe заражены
Win32.Neshta
пролечитесь [URL="http://virusinfo.info/showpost.php?p=648638&postcount=5"]так[/URL]
у меня 2 компа нету, поэтому пролечиться неполучиться скорее всего, я сейчас скрин аттачну, покажу где они сидят.
[size="1"][color="#666686"][B][I]Добавлено через 3 минуты[/I][/B][/color][/size]
[URL=http://radikal.ru/F/s015.radikal.ru/i333/1010/89/b8201170982c.jpg.html][IMG]http://s015.radikal.ru/i333/1010/89/b8201170982ct.jpg[/IMG][/URL]
вот как то так;)
[size="1"][color="#666686"][B][I]Добавлено через 40 секунд[/I][/B][/color][/size]
[url]http://s015.radikal.ru/i333/1010/89/b8201170982c.jpg[/url]
[size="1"][color="#666686"][B][I]Добавлено через 1 час 55 минут[/I][/B][/color][/size]
помогитеее)
[QUOTE]Восстановление системы: [B]включено[/B][/QUOTE]Отключите и заново включите
оно выключено на данный момент
[size="1"][color="#666686"][B][I]Добавлено через 33 секунды[/I][/B][/color][/size]
теперь включил.
продолжаются лаги интернета.
Особенно в опере.
Логи:
:rtfm:
virusinfo_cure.zip:
780.3 Кб превысил(а) предел на форуме. Нажмите здесь для просмотра ваших вложений
несмог. хотя все удалил
+
Ничего необычного в логах
но интернет все равно лагает
[QUOTE]O17 - HKLM\System\CCS\Services\Tcpip\..\{BEE09E68-63A7-4004-9FE5-1C30A82EDE53}: [COLOR="Red"]NameServer = 10.59.3.19[/COLOR][/QUOTE]
Это DNS-сервер вашего провайдера?
Если нет, или не знаете, пофиксите это в HijackThis.
пофиксил, а что же все же с neshta делать? правда они вроде в карантине, но авз их видит вроде
[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]
днс мой оказывается, фиксанул, инет вырубился) но все равно при включение часа 2 лагов есть
[QUOTE='SpbDanse;727133']интернет все равно лагает[/QUOTE]
Видимо, это уже вопросы к провайдеру.
[QUOTE='SpbDanse;727133']что же все же с neshta делать?[/QUOTE]
Удалите.