Printable View
Проблема в следующем: периодически комп начинает активно стучаться в сеть... При прогоне AVZ ругнулась на файлик spdt.sys в папке win/system32/drivers/ и удалила ее, но кроме этого находит несколько руткитов, которые никуда не деваются после ее лечения
ничего сильно вредного не вижу ... поставте фаервол .... посмотрите скорее какае-то вполне безобидная програмка лезет за обновлениями ...
программы вроде как PC-Lock, Password, mFormat имеются ? (сервис UFDSVC)
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\Documents and Settings\All Users\Документы\NOD32view\NOD32view.exe','');
QuarantineFile('c:\windows\System32\DRIVERS\tcpip.sys','');
QuarantineFile('c:\windows\system32\drivers\wf88vcap.sys','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=14406[/url]
или нод или антивир удалить , нельзя чтобы были оба .
нет такого. Был cachemanxp, - его тоже как руткит видели- так он спокойный, никуда не лезет. А кто-то рвался так, что шлюзовый сервер вешал... может, не от меня? а на spdt.sys взглянуть не хотите? я его заархивил
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
а монитор отключить- не хватит?
spdt.sys - от "Daemon Tools" .... просто повадки у него такие ...
В дополнение: версия Hijackthis старая - скачайте новую по ссылке в правилах и повторите лог Hijackthis, пожалуйста.
Скрипт от [b]drongo[/b] выполнили? Если да, то карантин AVZ загрузите по ссылке [url]http://virusinfo.info/upload_virus.php?tid=14406[/url]
Один из двух антивирусов надо удалять. Nod32 & Antivir - многовато будет.
"по полной программе"? сейчас сделаю. Вспомнил еще проблемку: комп в безопасном режиме не грузится- доходит до промаргивания клавы и остается с мигающим ДОС-курсором на экране...
Подожди подольше, а лучше все-таки убери один антивирус.
ладно, подожду
тогда что снести, посоветуйте: вот дилемма- нод траффик ПОП смотрит, а авира-просто посерьезней будет
Я бы оставил того, который лицензионный.
а вот и логи
Обшибся я. Их у тебя трое живет. Вот:
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKLM\..\Run: [nod32kui] "C:\Program Files\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
Из автозагрузки удали: C:\Documents and Settings\All Users\Документы\NOD32view\NOD32view.exe
клам- честный бесплатный и безмониторный
нод- почти честный, с ключами непосредственно от ЭСЭТа (думаю, отключения его монитора достаточно будет?или...)
авира- честно бесплатная
а чем, если не секрет, нодвьювер мешает? он мне зеркальце создает для флэшки...
В логе Хиджака смотрим: два сервиса от Авира + сервис Нода. У Нода еще сидит модуль в ядре. У Авиры тоже наверняка что-то в ядре сидит.
Можно в AVZ посмотреть. Так что отключения монитора Нода недостаточно будет.
Про NOD32view.exe не знал,виноват , больно у него уж подозрительное имя. Оставляем.
Остаток Макафи McAfeeFramework - пустой сервис надо удалить.
гут
попробую
отпишу
bdn135,Где карантин?
извиняюсь, дослал
[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]
в смысле, сейчас грузится
короче, снес Авиру. Нод перестал каждый раз находить нью хевр ПэЙэ- вирус при загрузке (это он так авиру видел)
Сейчас тишина. Пока. Надо будет в локалке найти машину, с которой траффик сыпался наружу...
Да, г-н Дронго интересовался карантином- ничего интересного не заметило его всевидящее око, хотелось бы узнать? а то сомнения у меня маааленькие, но остались...
Вредоносный код в файлах не обнаружен.
премного вам за тяжкий труд!
Я же говорил может быть весело при двух антивирусах, а вы не верили ;)
предыстория появления авиры на моем компе: на другой машине с той-же версией нода (2.70.39) и регулярным обновлением поменял, в качестве эксперимента, на 3.00.560
при первой-же перезагрузке началась ругань антивиря на постоянно появляющийся файлик, создаваемый всевозможными процессами- как я понял, обнаруживался след малваря. Прогнал куреит и авз, нашел маскирующийся процесс, удалил копии виря и успокоился (на той машине)
Далее- для успокоения прогнал куреит у себя, никого не встретил, но решил поставить еще один замок на дверь в виде авиры (заодно и понаблюдать за ней)
и какое-то время даже жил спокойно. До вчерашнего дня. Вот такие пироги.
[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]
да, я не "не верил", а только совета спрашивал у опытных людей.
Фенькс, одним словом
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]16[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]