Показано с 1 по 14 из 14.

Червь svchost и глюк c SPTD (заявка № 70387)

  1. #1
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36

    Cool Червь svchost и глюк c SPTD

    Здравствуите! Вот сообсно пара проблем:
    1. Основная: сегодня начала выскакивать ошибка microsoft c++ процесса svchost. Удалилось визуальное оформление. Ошибка выскакивала каждые 5 мин. Я перезагрузил комп и начил сканить антивирем, нашло какого-то червя но удалить его не удалось. Всё началось с того что скачал CS Source с торрента три дня назад, во время установки антивирь заругался, ну я и подумал может просто на патч ругается и т.д. Определяло как Trojan Downloader. Отключил антивирь и установил. Игра работает нормально, но вот кажись всё таки она с трояном была... Думаю логи больше расскажут чем я...
    2. Ошибка с SPTD драивером. Вообщем я удалял Daemon tools когда-то, и вот недавно снова начал устанавливать, во время установки требовало перезагрузить компьютер(когда устанавливается SPTD драивер), после перезагрузки установка начиналась заново. Но с этим я разобрался. Почистил в реестре всё связанное с SPTD и установил заново его, после перезагрузки всё работает до тех пор пока не выключу комп или не перезагружу. После перезагрузки вылазиет сообщение DT мол "для этой версии нужен SPTD драивер 1.60 и выше"(вроде как драивера нету, и он удалился сам по себе), хотя до перезагрузки он был установлен. Ключи в реестре остались но самого драивера в папке system32 нету! Приходится вот так каждый раз как включаю комп удалять ключи в реестре связанные с SPTD драивером и устанавливать поновой, и после следущей перезагрузки его всё равно не будет и приидется делать тоже самое. В чем может быть проблема?
    Заранее спасибо!

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Я удалил SPTD скриптом, плюс еще мелочи.
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    DeleteFile('D:\Program Files\FieryAds\FieryAdsUninstall.exe');
    QuarantineFile('D:\Program Files\FieryAds\FieryAdsUninstall.exe','');
     DeleteService('sptd');
     DeleteService('oreans32');
     QuarantineFile('D:\WINDOWS\system32\drivers\oreans32.sys','');
     DeleteFile('D:\WINDOWS\system32\drivers\oreans32.sys');
     DeleteFile('D:\WINDOWS\System32\Drivers\sptd.sys');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Базы AVZ надо обновить.
    Логи после скрипта повторить.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  4. #3
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    Всё сделал, вот логи.

  5. #4
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    Глюк с SPTD остался. Так же приходится переустанавливать этот драивер каждый раз поновой после перезагрузки и чистить записи о нём в реестре. Ошибка svchost пока не выскакивает.

  6. #5
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    23.06.2009
    Адрес
    Пермь
    Сообщений
    11,186
    Вес репутации
    528
    Закройте все открытые приложения, кроме АVZ и Internet Explorer.
    Отключите
    - ПК от интернета/локалки
    - Выгрузите антивирус и/или Файрвол
    - Закройте все программы
    - Выполните скрипт в AVZ
    Код:
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(True);
     DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
     QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
     DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
     DeleteService('sptd');
     DeleteFile('D:\WINDOWS\System32\Drivers\sptd.sys');
     BC_ImportAll;
     ExecuteSysClean;
     ExecuteRepair(13);
     BC_Activate;
     RebootWindows(true);
    end.
    После перезагрузки:
    - выполните такой скрипт
    Код:
    begin
      CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
     end.
    - Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
    - Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

    Добавлено через 1 минуту

    вот это
    Windows XP SP2
    Internet Explorer v6.00 SP2
    - надо срочно обновлять

    Необходимо поставить:
    - SP2 обновить до Service Pack 3(может потребоваться активация)
    - все последние обновления системы Windows - тут
    * Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

    - Установить Internet-Explorer 8.(даже если Вы его не используете)
    Последний раз редактировалось polword; 10.02.2010 в 09:42. Причина: Добавлено

  7. #6
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    Всё сделал, сп и эксплорер обновил. Но чё-то эксплорер 8 глюченый какой-то, как захожу в него он автоматически открывает вкладку на которой написано "подключение" и зависает намертво. Только волшебная комбинация Ctrl+alt+del спасает от этого.) Логи прикрепляю.

  8. #7
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    sptd по прежнему сам удаляется из системы... Точнее сам sptd.sys. А в реестре все записи по прежнему висят... Может я что не так объясняю?...) Дело в том что он(sptd.sys) удаляется сам после каждой перезагрузки(из папки system32), но в реестре записи остаются. Что бы он снова работал приходится: чистить записи о нём в реестре,
    (вот те которые я чищу каждый раз после того как он удаляется для ясности:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SPTD
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SPTD
    HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SPTD
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd
    HKEY_LOCAL_MACHINE\SOFTWARE\14919ea49a8f3b4aa3cf10 58d9a64cec
    , перезагружаться, устанавливать sptd, снова перезагружаться(что б DT заработал и SPTD функционировал) и только после этого оно работает, до первого выключения компьютера или перезагрузки. Но как перезагрузка, так драивер исчезает и DT не работает) С этой траблой я уже как пол года мучаюсь, из поисковиков выжал последние соки, ничего полезного. Может всё таки есть какое-нибудь научное обьяснение тому что sptd сам с системы удаляется?) Прог я никаких вроде не ставил подобных что бы удаляли дрова сами. Разве что CCleaner, и то я его заюзал пару раз и всё, но эта трабла до CCleaner возникла. Я помню когда давным давно решил Daemon Tools убить, убивал его через диспетчер устроиств и что-то там намудрил) После этого DT перестал работать, в то время как Alcohol120% работал на все 120%! Может alcohol использует свой драивер наподобие sptd и поэтому тот драивер и удаляет sptd c системы?... Хм только сеичас в голову пришло! Может есть смысл удалить DT и Alcohol, со всеми их драиверами из системы и попробывать снова установить? Только как узнать какой драйвер использует Alcohol? хм...
    Только сеичас вспомнил Alcohol, после того как удалил(пытавшись вернуть DT), я его не устанавливал! Т.е. может какие файлы от него остались наподобие sptd которые косвенно к нему относятся но его у меня вроде в системе нету!

  9. #8
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2500
    Сделай лог GetsystemInfo. утилита с сайта Касперского.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  10. #9
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    сделал! Я сам из любопытства посмотрел что в фаиле этом относительно sptd написано, и заметил что написано
    System32\Drivers\sptd.sys - stopped (boot)
    похоже в этом проблема?) Я помню когда удалял sptd:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd
    - значение start ставил на 4, но сеичас оно стоит на 0 т.е. вкл. но драивер все равно не работает. странно это всё!

  11. #10
    Невымерший Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    96,696
    Вес репутации
    3028
    Отчет почему сделали старой версией утилиты?
    Microsoft MVP 2012-2016 Consumer Security
    Microsoft MVP 2016 Reconnect

  12. #11
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    Я скачал только что эту версию с сайта касперского! Другой не видел!
    Вот ещё нашел сеичас в диспетчере устройств на вкладке "SCSI и RAID контроллеры" устроиство "VAX347S SCSİ controller" это похоже от алкоголя и оно включено. Значит это из-за него проблема с SPTD?
    Последний раз редактировалось Night; 12.02.2010 в 21:50.

  13. #12
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    Нашел ещё одну версию Getsysteminfo 4.0. Вот лог с неё.

  14. #13
    Junior Member Репутация
    Регистрация
    15.07.2008
    Сообщений
    47
    Вес репутации
    36
    Всё, я разобрался сам. Всем спасибо, тему можно закрывать.

  15. #14
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 2
    • В ходе лечения вредоносные программы в карантинах не обнаружены


  • Уважаемый(ая) Night, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 5
      Последнее сообщение: 08.06.2012, 10:34
    2. Ответов: 10
      Последнее сообщение: 01.05.2012, 10:40
    3. Ответов: 10
      Последнее сообщение: 21.12.2011, 15:56
    4. Ответов: 2
      Последнее сообщение: 10.06.2010, 16:11
    5. sptd.sys
      От Lakersfanis в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 02.01.2010, 13:52

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01336 seconds with 16 queries