что-то с y2.dll

**SePa** · 19.07.2007, 18:18

Проблема началась сегодня утром,загружаю комп и вот как загрузился нод32 сразу подозрение на вирус выдал и предложил удалить файл y2.dll, я удалил он сказал, что нужно перезагрузить комп->перезагружаю->опять ток загрузился и опять обнаружен этот файл).В инет выходить не хочет, пишет не найдена страница,аська/скайп тож не подключаются(инет сам рабочий с другого компа пишу всё ок) помогите плз...

и ещё нодвыдаёт такое некоторые файлы не пригодны для анализа. C:\System Volume Information\_restore{389A-46C8-B8FF-44DC-9372-31BEA255FA41}\RP391\A1294835.dll

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**drongo** · 19.07.2007, 18:50

Хм . Восстановление системы на всех дисках отключить, было сказно в правилах.
Приготовьте инсталяционный пакет вашего нода или другой антивирус. В любом случае придёться переставлять.
Скачайте http://virusinfo.info/showthread.php?t=10267 Сейчас напишу план лечения.

**SePa** · 19.07.2007, 18:55

drongo, вроде бы отключил все восстановления

переделать или не надо?

З.Ы. там вроде написано если слетела сеть после лечения, а у меня до

**drongo** · 19.07.2007, 19:33

План такой :
1)отключиться от интернета
2)удалить стандартно антивирус нод.
3)AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\System32\y2.dll','');
 QuarantineFile('C:\WINDOWS\SYSTEM\Mra.EXE','');
 QuarantineFile('C:\WINDOWS\pxwma.dll','');
 QuarantineFile('I:\фильмы\Copland2.0\Game Accelerator\gamexl.exe','');
 QuarantineFile('E:\Games\Новая папка\Steam.exe','');
 QuarantineFile('C:\PROGRA~1\Pinnacle\PPE\PPE.EXE','');
 QuarantineFile('C:\PROGRA~1\AWS\MiniBug.exe','');
 QuarantineFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\3710575.exe','');
 QuarantineFile('C:\Program Files\t0\t0.dll','');
 DeleteFile('C:\Program Files\t0\t0.dll');
 DeleteFile('C:\DOCUME~1\F942~1\LOCALS~1\Temp\3710575.exe');
 DeleteFile('C:\WINDOWS\System32\y2.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(14);
RebootWindows(true);
end.

4)Пофиксить в HijackThis следующие строчки ( http://virusinfo.info/showthread.php?t=4491 )если остануться конечно:

Код:

 
R3 - URLSearchHook: MraSearch Class - {30DA811B-BCBF-4aa7-B5E3-CEE0E03EF2B2} - C:\WINDOWS\SYSTEM\MraSearch.dll (file missing)
O2 - BHO: (no name) - {2F364306-AA45-47B5-9F9D-39A8B94E7EF7} - (no file)
O2 - BHO: XY33 Popup Blocker - {4B5A7560-16C6-4063-86D3-000000000002} - C:\Program Files\t0\t0.dll (file missing)
O2 - BHO: CInterfaceObj Object - {58F07DD3-924D-4141-BC74-299F523A95F1} - C:\WINDOWS\pxwma.dll (file missing)
O3 - Toolbar: (no name) - {E0E899AB-F487-11D5-8D29-0050BA6940E3} - (no file)
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [WinMedia] C:\DOCUME~1\F942~1\LOCALS~1\Temp\3710575.exe
O9 - Extra button: (no name) - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\t0\t0.dll (file missing)
O9 - Extra 'Tools' menuitem: Блокировка всплывающих окон - {4B5A7560-16C6-4063-86D3-000000000003} - C:\Program Files\t0\t0.dll (file missing)
O9 - Extra button: Mail.Ru Agent - {7558B7E5-7B26-4201-BEDB-00D5FF534523} - C:\WINDOWS\SYSTEM\Mra.EXE (file missing)
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O10 - Broken Internet access because of LSP provider 'c:\windows\system32\y2.dll' missing
O13 - DefaultPrefix: http://htpp.ws?
O13 - WWW Prefix: http://htpp.ws?
O16 - DPF: {24311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {33331111-1111-1111-1111-611111193457} - file://c:\ex.cab
O16 - DPF: {33331111-1111-1111-1111-615111193427} - 
O16 - DPF: {33331111-1111-1111-1111-622221193458} - file://c:\ex.cab
O16 - DPF: {54B52E52-8000-4413-BD67-FC7FE24B59F2} (EARTPatchX Class) - http://files.ea.com/downloads/rtpatch/v2/EARTPX.cab
O16 - DPF: {64311111-1111-1121-1111-111191113457} - file://c:\eied_s7.cab
O16 - DPF: {CT id=e codeBase=http://www.www2.p0rt2.com/files/epl152bf2.cab classid=clsid:33331111-1111-1111-1111-615111193427} -

5)Сделать новые логи по правилам.

6)установите антивирус и подключитесь к интернету, если инета не будет- воспользоваться утилитой winsockfix, которую ранее скачали. Не забудте перед этим все настройки сети на бумажку записать.
7)Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=11170
Присоеденить к теме новые логи, которые должны были сделать в пункте 5 данного плана.

Добавлено через 20 минут

Сообщение от SePa

и ещё нодвыдаёт такое некоторые файлы не пригодны для анализа. C:\System Volume Information\_restore{389A-46C8-B8FF-44DC-9372-31BEA255FA41}\RP391\A1294835.dll

нод ругаеться именно на файлы сохранённые службой восстановления системы, при отключении оной, должен перестать ругаться.
Также хочу отметить, что лечение временно, без SP2 на виндоусе и пару сотен заплаток после неё, через некоторое время ещё что-нибудь схватить можно . Правда кряк reset5 уже не сработает.

**SePa** · 19.07.2007, 20:13

хм...делаю новые логи, доходит до сканирования дисков и идёт на перезагрузку..что делать?

**drongo** · 19.07.2007, 20:30

Странно... Без установленного нода логи делаете ? Почистите временные файлы. Если не поможет, попробуйте из safe mode+http://virusinfo.info/showthread.php?t=10387

**SePa** · 19.07.2007, 21:01

вот новые логи

**SePa** · 19.07.2007, 21:18

объясните пожалуйста, как пользоваться программой WinSockFix и какие настройки переписать на бумажку, а именно что сначала в проге нажать Fix или ReG-Backup ?

**drongo** · 19.07.2007, 23:13

SePa, я же написал "Если" . А интернет на этом компютере исчез или нет ? Вроде должен работать судя по логам.Если работает, то данной утилитой пользоваться не надо. На будущее, сначало нажать конечно на ReG-Backup

Я имел ввиду настройки по которым идёт подключение к провайдеру, у каждого по разному

вернёмся к нашим баранам :
надо добить вашу коллекцию гадости :
AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\Program Files\t0\t0.dll');
 DeleteFile('C:\Program Files\WildTangent\Apps\CDA\CDALogger0402.dll');
 DeleteFile('C:\WINDOWS\wt\webdriver\4.1.1\webdriver.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Добавлено через 1 минут
Затем удалить папки WildTangent и wt полностью.
После, можно почистить компьютер от остаточного мусора с вашим TuneUp

**SePa** · 20.07.2007, 14:03

всё заработало=) спасибо большое=) сейчас буду добивать=)

P.S. инет стал работать только после использования программы.

**CyberHelper** · 22.02.2009, 02:07

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 21
В ходе лечения вредоносные программы в карантинах не обнаружены

что-то с y2.dll (заявка № 11170)

Опции темы

что-то с y2.dll

Итог лечения

Ваши права в разделе