Rootkit или Neshta

Здравствуйте.
Скачал сегодня программу для игры, запустил, играл и заметил какие то нагрузки сети, так как у меня скорость интернет соединения 64кбит/сек любые нагрузки на сеть очень заметны в игре.
Зашел в диспетчер задач, наблюдал минут 5 там появляется и исчезает процесс svchost.com, нашел в интернете все про этот вирус, называется он Neshta добавляет ко всем exe файлам 47 *** байт и как то их повреждает, что они потом не запускаются. Написанно что вылечить его можно программой Dr.web CureIT, но так как скорость интернета мала я скачать ее не смог и установил с диска с программами антивирус аваст он нашел много файлов в том числе и файл svchost.com и обозначил их как Rootkit-gen[rtk], файлы зараженные руткитом все .exe игры программы и т.д. Подскажите, что мне делать?
Заранее, спасибо!

Уважаемый(ая) [B]Corleone[/B], спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в [URL="http://virusinfo.info/pravila.html"]правилах оформления запроса о помощи[/URL].

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].

[QUOTE=Corleone;1030874]Подскажите, что мне делать?[/QUOTE]
Для начала - логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL].

вот логи

[url="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/url] в HijackThis:[code]R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.megapage.com/?aid=1&sid=3
O1 - Hosts: 184.82.252.228 ok.ru
O1 - Hosts: 184.82.252.228 odnoklassniki.ru
O1 - Hosts: 184.82.252.228 www.odnoklassniki.ru
O1 - Hosts: 184.82.252.228 m.odnoklassniki.ru
O1 - Hosts: 184.82.252.228 ok.ru
O1 - Hosts: 184.82.252.228 m.ok.ru
O1 - Hosts: 184.82.252.228 www.odnoklassniki.ru
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)[/code]
Удалите DealPly и Lyrmix.
[url=http://virusinfo.info/showthread.php?t=121767]Сделайте полный образ автозапуска uVS[/url].

[QUOTE=Vvvyg;1030904]
Удалите DealPly и Lyrmix.[/QUOTE] это как?

Панель управления -> "Программы и компоненты" - там смотрите и удаляйте.

не могу залить файл образа, во вложениях залиты предыдущие 2 файла не знаю как удалить

[url=http://virusinfo.info/showthread.php?t=130567]Удалите старые вложения[/url]. Или на rghost.ru и ссылку в тему.

rghost.ru/48268150

[url=http://virusinfo.info/showthread.php?t=121769]Выполните скрипт в uVS:[/url][code];uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1

delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\3582-490\PRAETO~1.EXE
delref %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0\OP\UPDATEBHO.DLL
delref HTTP://WWW.MEGAPAGE.COM/?AID=1&SID=3
exec "C:\Program Files\DealPly\uninst.exe" /uninstall
exec MsiExec.exe /quiet /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec C:\Program Files\Lyrmix\uninstall.exe
deltmp
restart[/code]На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.

Сделайте лог [url=http://virusinfo.info/showpost.php?p=457118&postcount=1]полного сканирования МВАМ.[/url]

MBAM

[url=http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584]Удалите в MBAM всё, [B]кроме[/B]:[/url][code]C:\Program Files\Canon\dwm.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\Program Files\Stratego\FalcoGamePlayerSetup.exe (PUP.BundleInstaller.FG) -> Действие не было предпринято.
C:\TCPU58\install\Icons\icon.icl (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\OpPleiList\OpPleiList.exe (Trojan.KillAV) -> Действие не было предпринято.
C:\TCPU58\Programm\CCProxy\CCProxy.dll (Trojan.Proxy.CC) -> Действие не было предпринято.
C:\TCPU58\Programm\TheCalc\Numlock.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\WPA_KILL\CRYPT.DLL (Hacktool) -> Действие не было предпринято.
C:\Users\USER\Desktop\ресы\1_PWmap.rar (Trojan.Dropper.PGen) -> Действие не было предпринято.
F:\Working with CD and DVD\CyberLink PowerDVD Copy v1.0.6720\Crack\cyberlink.powerdvd.copy.1.0.xxx-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
F:\Working with CD and DVD\UltraISO Premium Gold v9.3.6\Crack\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\activator.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Avtovino.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Lite 1.008.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Games\LineageII - копия\play4free.org\dsetup.dll (VirTool.Vbcrypt) -> Действие не было предпринято.[/code]

Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.

запустил заново проверку MBAM, просто закрыл после того как лог отправил, не думаю что это поможет у меня все ехешники заражены сейчас даже MBAM не хотел включаться пришлось комп перезагружать

Да что-то не кажется мне, что активное заражение Neshta у Вас. Ramnit на флэшке кишит. Но если есть подозрение - пролечитесь как указано в этой теме: [url=http://virusinfo.info/showthread.php?t=15927]Как лечить файловый вирус?[/url], потом сделайте новые логи.

Именно эта нешта и есть, файл svchost.com в каталоге С\Windows создался, весит как вирус нешта размер уже непомню(удалил файл и создал там текстовик с названием svchost.com) половина значков почему то не отображается, не запускаются половина приложений, зараженные все ехешники были измененны 21.08.2013, зараженны так же regedit и winrar

- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=290-virus-detector][B]тут[/B][/url]. Ссылку на результат проверки напишите в сообщении здесь.

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[quote="Corleone;1031095"]зараженны так же regedit и winrar[/quote]
Пришлите в карантин согласно [B]Приложения 2[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

пока все делаю, заметил еще что скорость интернета как то урезана, в коннект менеджере скорость выше 8кбит не поднимается( я по пол часа страницы загружаю(

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=regist;1031099]- Проведите процедуру, которая описана [url=http://virusinfo.info/content.php?r=290-virus-detector][B]тут[/B][/url]. Ссылку на результат проверки напишите в сообщении здесь.[/QUOTE]

[COLOR="silver"]- - - Добавлено - - -[/COLOR]
не могу загрузить файл, весит он 27мб скорость вообще не идет, как будто ничего не перекидываю держится на 0кбит-1кбит

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=Vvvyg;1031081][URL="http://virusinfo.info/showthread.php?t=53070&p=493584&viewfull=1#post493584"]Удалите в MBAM всё, [B]кроме[/B]:[/URL][code]C:\Program Files\Canon\dwm.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\Program Files\Stratego\FalcoGamePlayerSetup.exe (PUP.BundleInstaller.FG) -> Действие не было предпринято.
C:\TCPU58\install\Icons\icon.icl (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\OpPleiList\OpPleiList.exe (Trojan.KillAV) -> Действие не было предпринято.
C:\TCPU58\Programm\CCProxy\CCProxy.dll (Trojan.Proxy.CC) -> Действие не было предпринято.
C:\TCPU58\Programm\TheCalc\Numlock.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\WPA_KILL\CRYPT.DLL (Hacktool) -> Действие не было предпринято.
C:\Users\USER\Desktop\ресы\1_PWmap.rar (Trojan.Dropper.PGen) -> Действие не было предпринято.
F:\Working with CD and DVD\CyberLink PowerDVD Copy v1.0.6720\Crack\cyberlink.powerdvd.copy.1.0.xxx-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
F:\Working with CD and DVD\UltraISO Premium Gold v9.3.6\Crack\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\activator.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Avtovino.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Lite 1.008.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Games\LineageII - копия\play4free.org\dsetup.dll (VirTool.Vbcrypt) -> Действие не было предпринято.[/code]

Выполните скрипт в AVZ при наличии доступа в интернет:[CODE]var
LogPath : string;
ScriptPath : string;

begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';

if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.[/CODE]
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.[/QUOTE]
сделал

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

rghost.ru/48282925 - 2 скрина на первом видно что аваст нашел вирус svchost.com на этом же скриншоте я открыл свойства это файла..... на втором скриншоте запустил первый попавшийся exeшник он не запускается просит выбрать программу с помощью которой запускать, на этом же скрине проверил этот файл авастом- обнаружена угроза!

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

и так почти все приложения- запускаются только когда- ПКМ запустить от администратора!

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

100% нешта! Отключил антивирус запускаю игру файл ехе- написанно дата изменени-[22/08/2013 8:18] и сразу создается файл в C\windows svchost.com

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

Сейчас сам по себе выключился компьютер, решил запустить в безопасном режиме,не запускается зависает на загрузке файла CLASS.PNP, еще время от времени какое то черное окно на экране моргает, что там написанно прочитать не успеваю оно появляется на долю секунды:(

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

перегружается сеть интернет, проверял через пингплотер самая нижняя строка показывает что 100% пакетов потеряны

Лечитесь с LiveCD, только образ скачайте и запишите с другого компьютера.

LiveCD? это не та утилита Dr.Web Cureit?

Можно и CureIt! в безопасном режиме, но надёжней - с загрузочного диска, там по ссылке ниже описано.

я помойму не догоняю( где ссылка( можно как для нубика по подробней(

Любой из вариантов:

[URL="http://www.freedrweb.com/livecd/?lng=ru"]Dr.Web® LiveCD[/URL]
[URL="http://www.freedrweb.com/liveusb/?lng=ru"]Dr.Web® LiveUSB[/URL]
[URL="http://support.kaspersky.ru/viruses/rescuedisk"]Kaspersky Rescue Disk 10[/URL]

еще вопрос а Dr.Web LiveCD файлы вылечит или просто удалит? просто файлы важные же)

Что излечимо - вылечит. Возможно, некоторые приложения придётся переустановить.

сейчас появилась возможность скачать утилиту Др.Веб CureIT я ее скачаю а комп то заражен? может сначала врубить аваст чтобы он блокировал вирусы? и подскажите как врубить комп в безопасном режиме, останавливается загрузка безопасного режима на CLASSPNP.SYS

CureIt! можно запускать и на заражённом компьютере.

Скачайте [URL="http://www.nirsoft.net/utils/serviwin.zip"]ServiWn[/URL], распакуйте, запустите, View -> "HTML Report - All items", в браузере откроется отчёт, сохраните его, упакуйте в архив и прикрепите к своему следующему сообщению.

не дождавшись ответа я скачал cureit запустил он 4 часа сканил. найдено 925 угроз 870+ из них Neshta лечит вроде)

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

один кейлогер был

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

не знаю что за вирус BtcMine

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

наблюдаю за лечением Neshta вирусов, один из них был не Вылечен а перемещен. Это нормально?

Нормально.
BtcMine - биткойн-майнер, удаляйте.

спасибо за помощь! Так для развлечения почитайте) zhyk.ru/forum/showthread.php?t=602944

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

такой вопрос cureit вылечил все файлы которые нашел, просит перезагрузку компа, комп перезагрузить я не могу( Скорость интернета пропадет( кстати может знаете почему у меня подключен интернет МТС БИТ скорость после 30мб сутки ограничивается до 64кбит, если оставить инет включенным на ночь, потом трафик не снижается вообще, то есть качай что угодно с большой скоростью) было пару раз такое что комп перезагружал выключал включал инет скорость не падала) было это в течении 4-х месяцев потом опять скорость упала) вот мне интересно это какой то баг или что?

Почему не можете перезагрузить? Перезагрузите принудительно.
Сделайте новый [url=http://virusinfo.info/showthread.php?t=121767]полный образ автозапуска uVS[/url].

файлы вылеченны комп не перезагрузил вот скрины при запуске приложения rghost.ru/48313952

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

[QUOTE=Vvvyg;1031622]Почему не можете перезагрузить? Перезагрузите принудительно.
Сделайте новый [url=http://virusinfo.info/showthread.php?t=121767]полный образ автозапуска uVS[/url].[/QUOTE] перезагрузить могу, но не хочу терять скорость интернета) поэтому не перезагружаю. На данный момент интересует если потом перезагружу компьютер данная проблема пропадет?

Пока не перезагрузитесь, проблема не решится. Долечитесь, а не качайте, у Вас от Neshta параметры запуска файлов действуют, пока не перезагрузите...

а ну все понял) перезагружу позже) а вы случаем не знаете почему у меня скорость не снижается? Очень хочется знать как так получается и можно ли самому как то это сделать?

Не знаю, хрустальный шар дома забыл... ;)

интересно бы узнать) плачу 250 рублей в месяц и скорость бывает до 5-6 Мбит доходит

Спросите ТП провайдера.
Новые логи для контроля сделайте.

провайдеру говорить боюсь) вдруг скорость понизят) логи↓

[url="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/url]:[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('C:\Users\USER\appdata\roaming\search~1\search~1.exe','');
DeleteFile('C:\Users\USER\appdata\roaming\search~1\search~1.exe','32');
ExecuteWizard('TSW',2,2,true);
RebootWindows(false);
end.[/code]Компьютер перезагрузится.
Выполните в AVZ скрипт:
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Выполните 2-й стандартный скрипт в AVZ и прикрепите к своему следующему сообщению файл virusinfo_syscheck.zip.

перезагрузил компьютер, думал будет все нормально( так же не запускаются приложения просит выбрать программу запуска из списка, как на скринах в моем предыдущем сообщении(

[COLOR="silver"]- - - Добавлено - - -[/COLOR]

попытался сейчас запустить реестр-не запускается, даже от имени администратора(