-
Junior Member
- Вес репутации
- 39
Rootkit или Neshta
Здравствуйте.
Скачал сегодня программу для игры, запустил, играл и заметил какие то нагрузки сети, так как у меня скорость интернет соединения 64кбит/сек любые нагрузки на сеть очень заметны в игре.
Зашел в диспетчер задач, наблюдал минут 5 там появляется и исчезает процесс svchost.com, нашел в интернете все про этот вирус, называется он Neshta добавляет ко всем exe файлам 47 *** байт и как то их повреждает, что они потом не запускаются. Написанно что вылечить его можно программой Dr.web CureIT, но так как скорость интернета мала я скачать ее не смог и установил с диска с программами антивирус аваст он нашел много файлов в том числе и файл svchost.com и обозначил их как Rootkit-gen[rtk], файлы зараженные руткитом все .exe игры программы и т.д. Подскажите, что мне делать?
Заранее, спасибо!
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Уважаемый(ая) Corleone, спасибо за обращение на наш форум!
Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитами АВЗ и HiJackThis, подробнее можно прочитать в правилах оформления запроса о помощи.
Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.
-
-
Сообщение от
Corleone
Подскажите, что мне делать?
Для начала - логи по правилам.
-
-
Junior Member
- Вес репутации
- 39
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.megapage.com/?aid=1&sid=3
O1 - Hosts: 184.82.252.228 ok.ru
O1 - Hosts: 184.82.252.228 odnoklassniki.ru
O1 - Hosts: 184.82.252.228 www.odnoklassniki.ru
O1 - Hosts: 184.82.252.228 m.odnoklassniki.ru
O1 - Hosts: 184.82.252.228 ok.ru
O1 - Hosts: 184.82.252.228 m.ok.ru
O1 - Hosts: 184.82.252.228 www.odnoklassniki.ru
O2 - BHO: BhoApp Class - {0CB66BA8-5E1F-4963-93D1-E1D6B78FE9A2} - (no file)
Удалите DealPly и Lyrmix.
Сделайте полный образ автозапуска uVS.
-
-
Junior Member
- Вес репутации
- 39
Сообщение от
Vvvyg
Удалите DealPly и Lyrmix.
это как?
-
Панель управления -> "Программы и компоненты" - там смотрите и удаляйте.
-
-
Junior Member
- Вес репутации
- 39
не могу залить файл образа, во вложениях залиты предыдущие 2 файла не знаю как удалить
-
Удалите старые вложения. Или на rghost.ru и ссылку в тему.
-
-
Junior Member
- Вес репутации
- 39
-
Выполните скрипт в uVS:
Код:
;uVS v3.81.1 [http://dsrt.dyndns.org]
;Target OS: NTv6.1
delref %SystemDrive%\USERS\USER\APPDATA\LOCAL\TEMP\3582-490\PRAETO~1.EXE
delref %SystemDrive%\PROGRAM FILES\GET-STYLES 2.0\OP\UPDATEBHO.DLL
delref HTTP://WWW.MEGAPAGE.COM/?AID=1&SID=3
exec "C:\Program Files\DealPly\uninst.exe" /uninstall
exec MsiExec.exe /quiet /X{86D4B82A-ABED-442A-BE86-96357B70F4FE}
exec C:\Program Files\Lyrmix\uninstall.exe
deltmp
restart
На вопросы об удалении программ рекомендую соглашаться.
Компьютер перезагрузится.
Сделайте лог полного сканирования МВАМ.
-
-
Junior Member
- Вес репутации
- 39
-
Удалите в MBAM всё, кроме:
Код:
C:\Program Files\Canon\dwm.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\Program Files\Stratego\FalcoGamePlayerSetup.exe (PUP.BundleInstaller.FG) -> Действие не было предпринято.
C:\TCPU58\install\Icons\icon.icl (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\OpPleiList\OpPleiList.exe (Trojan.KillAV) -> Действие не было предпринято.
C:\TCPU58\Programm\CCProxy\CCProxy.dll (Trojan.Proxy.CC) -> Действие не было предпринято.
C:\TCPU58\Programm\TheCalc\Numlock.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\WPA_KILL\CRYPT.DLL (Hacktool) -> Действие не было предпринято.
C:\Users\USER\Desktop\ресы\1_PWmap.rar (Trojan.Dropper.PGen) -> Действие не было предпринято.
F:\Working with CD and DVD\CyberLink PowerDVD Copy v1.0.6720\Crack\cyberlink.powerdvd.copy.1.0.xxx-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
F:\Working with CD and DVD\UltraISO Premium Gold v9.3.6\Crack\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\activator.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Avtovino.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Lite 1.008.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Games\LineageII - копия\play4free.org\dsetup.dll (VirTool.Vbcrypt) -> Действие не было предпринято.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
-
-
Junior Member
- Вес репутации
- 39
запустил заново проверку MBAM, просто закрыл после того как лог отправил, не думаю что это поможет у меня все ехешники заражены сейчас даже MBAM не хотел включаться пришлось комп перезагружать
-
Да что-то не кажется мне, что активное заражение Neshta у Вас. Ramnit на флэшке кишит. Но если есть подозрение - пролечитесь как указано в этой теме: Как лечить файловый вирус?, потом сделайте новые логи.
-
-
Junior Member
- Вес репутации
- 39
Именно эта нешта и есть, файл svchost.com в каталоге С\Windows создался, весит как вирус нешта размер уже непомню(удалил файл и создал там текстовик с названием svchost.com) половина значков почему то не отображается, не запускаются половина приложений, зараженные все ехешники были измененны 21.08.2013, зараженны так же regedit и winrar
-
- Проведите процедуру, которая описана тут. Ссылку на результат проверки напишите в сообщении здесь.
- - - Добавлено - - -
Сообщение от
Corleone
зараженны так же regedit и winrar
Пришлите в карантин согласно Приложения 2 правил по красной ссылке Прислать запрошенный карантин вверху темы
-
-
Junior Member
- Вес репутации
- 39
пока все делаю, заметил еще что скорость интернета как то урезана, в коннект менеджере скорость выше 8кбит не поднимается( я по пол часа страницы загружаю(
- - - Добавлено - - -
Сообщение от
regist
- Проведите процедуру, которая описана
тут. Ссылку на результат проверки напишите в сообщении здесь.
- - - Добавлено - - -
не могу загрузить файл, весит он 27мб скорость вообще не идет, как будто ничего не перекидываю держится на 0кбит-1кбит
- - - Добавлено - - -
Сообщение от
Vvvyg
Удалите в MBAM всё, кроме:
Код:
C:\Program Files\Canon\dwm.exe (Backdoor.Bot) -> Действие не было предпринято.
C:\Program Files\Stratego\FalcoGamePlayerSetup.exe (PUP.BundleInstaller.FG) -> Действие не было предпринято.
C:\TCPU58\install\Icons\icon.icl (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\OpPleiList\OpPleiList.exe (Trojan.KillAV) -> Действие не было предпринято.
C:\TCPU58\Programm\CCProxy\CCProxy.dll (Trojan.Proxy.CC) -> Действие не было предпринято.
C:\TCPU58\Programm\TheCalc\Numlock.dll (Trojan.Downloader) -> Действие не было предпринято.
C:\TCPU58\Programm\WPA_KILL\CRYPT.DLL (Hacktool) -> Действие не было предпринято.
C:\Users\USER\Desktop\ресы\1_PWmap.rar (Trojan.Dropper.PGen) -> Действие не было предпринято.
F:\Working with CD and DVD\CyberLink PowerDVD Copy v1.0.6720\Crack\cyberlink.powerdvd.copy.1.0.xxx-patch.exe (PUP.Hacktool.Patcher) -> Действие не было предпринято.
F:\Working with CD and DVD\UltraISO Premium Gold v9.3.6\Crack\keygen.exe (Riskware.Tool.CK) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\activator.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Avtovino.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Проги хакинга\15_Lite_1.008\Lite 1.008.exe (Trojan.MSIL) -> Действие не было предпринято.
I:\Games\LineageII - копия\play4free.org\dsetup.dll (VirTool.Vbcrypt) -> Действие не было предпринято.
Выполните скрипт в AVZ при наличии доступа в интернет:
Код:
var
LogPath : string;
ScriptPath : string;
begin
LogPath := GetAVZDirectory + 'log\avz_log.txt';
if FileExists(LogPath) Then DeleteFile(LogPath);
ScriptPath := GetAVZDirectory +'ScanVuln.txt';
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 1) then ExecuteScript(ScriptPath) else begin
if DownloadFile('http://dataforce.ru/~kad/ScanVuln.txt', ScriptPath, 0) then ExecuteScript(ScriptPath) else begin
ShowMessage('Невозможно загрузить скрипт AVZ для обнаружения наиболее часто используемых уязвимостей!');
exit;
end;
end;
if FileExists(LogPath) Then ExecuteFile('notepad.exe', LogPath, 1, 0, false)
end.
После его работы, если будут найдены уязвимости, в блокноте откроется файл avz_log.txt со ссылками на обновления системы и критичных к безопасности программ, которые нужно загрузить и установить. В первую очередь это относится к броузерам, Java, Adobe Acrobat/Reader и Adobe Flash Player.
сделал
- - - Добавлено - - -
rghost.ru/48282925 - 2 скрина на первом видно что аваст нашел вирус svchost.com на этом же скриншоте я открыл свойства это файла..... на втором скриншоте запустил первый попавшийся exeшник он не запускается просит выбрать программу с помощью которой запускать, на этом же скрине проверил этот файл авастом- обнаружена угроза!
- - - Добавлено - - -
и так почти все приложения- запускаются только когда- ПКМ запустить от администратора!
- - - Добавлено - - -
100% нешта! Отключил антивирус запускаю игру файл ехе- написанно дата изменени-[22/08/2013 8:18] и сразу создается файл в C\windows svchost.com
- - - Добавлено - - -
Сейчас сам по себе выключился компьютер, решил запустить в безопасном режиме,не запускается зависает на загрузке файла CLASS.PNP, еще время от времени какое то черное окно на экране моргает, что там написанно прочитать не успеваю оно появляется на долю секунды
- - - Добавлено - - -
перегружается сеть интернет, проверял через пингплотер самая нижняя строка показывает что 100% пакетов потеряны
-
Лечитесь с LiveCD, только образ скачайте и запишите с другого компьютера.
-
-
Junior Member
- Вес репутации
- 39
LiveCD? это не та утилита Dr.Web Cureit?