Printable View
Проблема в следующем: периодически комп начинает активно стучаться в сеть... При прогоне AVZ ругнулась на файлик spdt.sys в папке win/system32/drivers/ и удалила ее, но кроме этого находит несколько руткитов, которые никуда не деваются после ее лечения
ничего сильно вредного не вижу ... поставте фаервол .... посмотрите скорее какае-то вполне безобидная програмка лезет за обновлениями ...
программы вроде как PC-Lock, Password, mFormat имеются ? (сервис UFDSVC)
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Документы\NOD32view\NOD32view.exe','');
QuarantineFile('c:\windows\System32\DRIVERS\tcpip.sys','');
QuarantineFile('c:\windows\system32\drivers\wf88vcap.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=14406[/url]
или нод или антивир удалить , нельзя чтобы были оба .
нет такого. Был cachemanxp, - его тоже как руткит видели- так он спокойный, никуда не лезет. А кто-то рвался так, что шлюзовый сервер вешал... может, не от меня? а на spdt.sys взглянуть не хотите? я его заархивил
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
а монитор отключить- не хватит?
spdt.sys - от "Daemon Tools" .... просто повадки у него такие ...
В дополнение: версия Hijackthis старая - скачайте новую по ссылке в правилах и повторите лог Hijackthis, пожалуйста.
Скрипт от [b]drongo[/b] выполнили? Если да, то карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=14406[/url]
Один из двух антивирусов надо удалять. Nod32 & Antivir - многовато будет.
"по полной программе"? сейчас сделаю. Вспомнил еще проблемку: комп в безопасном режиме не грузится- доходит до промаргивания клавы и остается с мигающим ДОС-курсором на экране...
Подожди подольше, а лучше все-таки убери один антивирус.
ладно, подожду
тогда что снести, посоветуйте: вот дилемма- нод траффик ПОП смотрит, а авира-просто посерьезней будет
Я бы оставил того, который лицензионный.
а вот и логи
Обшибся я. Их у тебя трое живет. Вот:
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
Из автозагрузки удали: C:\Documents and Settings\All Users\Документы\NOD32view\NOD32view.exe
клам- честный бесплатный и безмониторный
нод- почти честный, с ключами непосредственно от ЭСЭТа (думаю, отключения его монитора достаточно будет?или...)
авира- честно бесплатная
а чем, если не секрет, нодвьювер мешает? он мне зеркальце создает для флэшки...
В логе Хиджака смотрим: два сервиса от Авира + сервис Нода. У Нода еще сидит модуль в ядре. У Авиры тоже наверняка что-то в ядре сидит.
Можно в AVZ посмотреть. Так что отключения монитора Нода недостаточно будет.
Про NOD32view.exe не знал,виноват , больно у него уж подозрительное имя. Оставляем.
Остаток Макафи McAfeeFramework - пустой сервис надо удалить.
гут
попробую
отпишу
bdn135,Где карантин?
извиняюсь, дослал
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
в смысле, сейчас грузится
короче, снес Авиру. Нод перестал каждый раз находить нью хевр ПэЙэ- вирус при загрузке (это он так авиру видел)
Сейчас тишина. Пока. Надо будет в локалке найти машину, с которой траффик сыпался наружу...
Да, г-н Дронго интересовался карантином- ничего интересного не заметило его всевидящее око, хотелось бы узнать? а то сомнения у меня маааленькие, но остались...
Вредоносный код в файлах не обнаружен.