Проверьте осталась ли какая-то зараза

**Anton_Petrenko** · 26.04.2009, 21:58

Комп глючил, повисал иногда, при открытии MS Word появлялась "ошибка приложения...". Почистил при помощи cureit, word перестал зависать, но не мог установить Nod32 3.0, а сегодня он нормально установился и нашел пару зловредов.
Посмотрите пожалуйста логи, есть ли что-нибудь подозрительное?

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Aleksandra** · 26.04.2009, 22:15

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 ClearQuarantine;
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DelBHO('{18CACF0E-72A4-4be1-AA42-DC2ECDB197F1}');
 DelBHO('{DF53C95B-CE79-411F-963F-63AB3ECD78AA}');
 DelCLSID('28ABC5C0-4FCB-11CF-AAX5-81CX1C735612');
 QuarantineFile('C:\WINDOWS\services.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe','');
 QuarantineFile('C:\WINDOWS\system32\93044371613.dll','');
 DeleteFile('C:\WINDOWS\services.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1482476501-1644491937-682003330-1013\winde32.exe');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!
Пришлите карантин согласно приложению 3 правил.
Загружать по ссылке: http://virusinfo.info/upload_virus.php?tid=44603

3. Повторите логи.

**Anton_Petrenko** · 26.04.2009, 23:13

Карантин отправил.
Вот свежие логи.

**Aleksandra** · 26.04.2009, 23:23

93044371613.dll - Trojan-GameThief.Win32.WOW.ibn

1. Отключите восстановление системы и антивирус.
2. Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\93044371613.dll');
 BC_ImportDeletedList;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится!

3. Сделайте новые логи (только п.2 и 3 раздела Диагностика).

**Anton_Petrenko** · 26.04.2009, 23:47

Восстановление системы вродебы отключено уже давно, а как правильно отключить NOD32 3.0 ? В сервисах отключать eset или его надо удалять?

Свежие логи при отключенном сервисе eset.

**Aleksandra** · 27.04.2009, 00:03

Ошибка LSP Protocol = "RSVP UDP Service Provider" --> отсутствует файл C:\WINDOWS\system32\93044371613.dll
Ошибка LSP Protocol = "RSVP TCP Service Provider" --> отсутствует файл C:\WINDOWS\system32\93044371613.dll

Попробуйте воспользоваться LSPFix. Скачать можно с http://cexx.org/lspfix.zip После повторите логи...

**Anton_Petrenko** · 27.04.2009, 00:33

Теперь интернет не работает. Похоже какие-то проблемы с DNS

вот что пишет при пинге

C:\Documents and Settings\avers>ping 195.64.192.35

Обмен пакетами с °я¦ по 32 байт:

Ответ от 195.64.192.35: число байт=32 время<1мс TTL=60
Ответ от 195.64.192.35: число байт=32 время<1мс TTL=60
Ответ от 195.64.192.35: число байт=32 время<1мс TTL=60
Ответ от 195.64.192.35: число байт=32 время<1мс TTL=60

C:\Documents and Settings\avers>ping www.ru
При проверке связи не удалось обнаружить узел www.ru. Проверьте имя узла и повто
рите попытку.

Хотя на эту dll-ку вроде больше не ругается.
Логи прилагаю.

P.S. Пишу с соседней машины, т.к. интернет на этой перестал работать

**Aleksandra** · 27.04.2009, 00:46

Свои ip-адреса и параметры сети знаете? Если да, то пропишите их.

**Anton_Petrenko** · 27.04.2009, 01:00

Дык они прописаны привильно и по ip-шникам всё пингуется

ping 195.64.192.35
вместо
Обмен пакетами с 195.64.192.35 по 32 байт:
почему-то пишет
Обмен пакетами с °я¦ по 32 байт:

Это произошло после применения LSPFix
Может я с ним что-то не так сделал?

P.S.
вот ещё про какие странности забыл сказать
при входе в систему под именем пользователя пишет "не прочитано сообщений 255"

и каждый раз после загрузки находит какое-то устройство "volume"

**Aleksandra** · 27.04.2009, 01:28

Посмотреть содержимое файла HOSTS не пробовали?

**Anton_Petrenko** · 27.04.2009, 01:34

WinSock XP Fix помог решить проблему

сейчас инет работает!

**Aleksandra** · 27.04.2009, 01:36

Вот еще http://virusinfo.info/showthread.php?t=10267

Добавлено через 58 секунд

Повторите последние два лога.

**Anton_Petrenko** · 27.04.2009, 01:47

Вот логи.

**Aleksandra** · 27.04.2009, 02:01

Ну вот мы и добились желаемого результата. Ничего зловредного в логах нет. Извините за то, что я заставила Вас немного понервничать.

Добавлено через 42 секунды

Выполните эту инструкцию http://virusinfo.info/showthread.php?t=3519 и загрузите полученный карантин через форму http://virusinfo.info/index.php?page=uploadclean После его загрузки продублируйте имя и MD5 файла, который выдаст форма приема карантинов.

**Anton_Petrenko** · 27.04.2009, 06:29

Большое СПАСИБО за помощь!

Вот что сообщила форма приема карантинов

Файл сохранён как090427_062240_virusinfo_files_AVERST_49f516f048 c7d.zipРазмер файла1883502MD5db18fc861a31688cd131378fb5718b81

**Aleksandra** · 27.04.2009, 06:33

Сообщение от Anton_Petrenko

Файл сохранён как090427_062240_virusinfo_files_AVERST_49f516f048 c7d.zipРазмер файла1883502MD5db18fc861a31688cd131378fb5718b81

http://virusinfo.info/showpost.php?p...&postcount=883

**CyberHelper** · 28.04.2009, 06:33

Статистика проведенного лечения:

Получено карантинов: 1
Обработано файлов: 1
В ходе лечения обнаружены вредоносные программы:
1. c:\windows\system32\93044371613.dll - Trojan-GameThief.Win32.WOW.ibn ( DrWEB: Trojan.PWS.Wow.1306, BitDefender: Trojan.PWS.Onlinegames.KBWS )

Проверьте осталась ли какая-то зараза (заявка № 44603)

Опции темы

Проверьте осталась ли какая-то зараза

Итог лечения

Похожие темы

После удаления касперским Rootkit.Win32.Small.ut осталась какая-то гадость

Какая-то зараза

Осталась какая-то хрень

Осталась ли зараза

Какая-то Зараза

Ваши права в разделе