Червь svchost и глюк c SPTD

[Night]

Здравствуите! Вот сообсно пара проблем:
1. Основная: сегодня начала выскакивать ошибка microsoft c++ процесса svchost. Удалилось визуальное оформление. Ошибка выскакивала каждые 5 мин. Я перезагрузил комп и начил сканить антивирем, нашло какого-то червя но удалить его не удалось. Всё началось с того что скачал CS Source с торрента три дня назад, во время установки антивирь заругался, ну я и подумал может просто на патч ругается и т.д. Определяло как Trojan Downloader. Отключил антивирь и установил. Игра работает нормально, но вот кажись всё таки она с трояном была... Думаю логи больше расскажут чем я...
2. Ошибка с SPTD драивером. Вообщем я удалял Daemon tools когда-то, и вот недавно снова начал устанавливать, во время установки требовало перезагрузить компьютер(когда устанавливается SPTD драивер), после перезагрузки установка начиналась заново. Но с этим я разобрался. Почистил в реестре всё связанное с SPTD и установил заново его, после перезагрузки всё работает до тех пор пока не выключу комп или не перезагружу. После перезагрузки вылазиет сообщение DT мол "для этой версии нужен SPTD драивер 1.60 и выше"(вроде как драивера нету, и он удалился сам по себе), хотя до перезагрузки он был установлен. Ключи в реестре остались но самого драивера в папке system32 нету! Приходится вот так каждый раз как включаю комп удалять ключи в реестре связанные с SPTD драивером и устанавливать поновой, и после следущей перезагрузки его всё равно не будет и приидется делать тоже самое. В чем может быть проблема?
Заранее спасибо!

[PavelA]

Я удалил SPTD скриптом, плюс еще мелочи.

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('D:\Program Files\FieryAds\FieryAdsUninstall.exe');
QuarantineFile('D:\Program Files\FieryAds\FieryAdsUninstall.exe','');
 DeleteService('sptd');
 DeleteService('oreans32');
 QuarantineFile('D:\WINDOWS\system32\drivers\oreans32.sys','');
 DeleteFile('D:\WINDOWS\system32\drivers\oreans32.sys');
 DeleteFile('D:\WINDOWS\System32\Drivers\sptd.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Базы AVZ надо обновить.
Логи после скрипта повторить.

[Night]

Всё сделал, вот логи.

[Night]

Глюк с SPTD остался. Так же приходится переустанавливать этот драивер каждый раз поновой после перезагрузки и чистить записи о нём в реестре. Ошибка svchost пока не выскакивает.

[polword]

Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
 QuarantineFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe','');
 DeleteFile('C:\RESTORE\S-1-5-21-1482476501-1644491937-682003330-1013\Drive13.exe');
 DeleteService('sptd');
 DeleteFile('D:\WINDOWS\System32\Drivers\sptd.sys');
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteRepair(13);
 BC_Activate;
 RebootWindows(true);
end.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темы
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log)

Добавлено через 1 минуту

вот это

Windows XP SP2
Internet Explorer v6.00 SP2

- надо срочно обновлять

Необходимо поставить:
- SP2 обновить до Service Pack 3(может потребоваться активация)
- все последние обновления системы Windows - тут
* Перед установкой Сервис Пака необходимо выгрузить антивирус, файрвол, а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)

- Установить Internet-Explorer 8.(даже если Вы его не используете)

[Night]

Всё сделал, сп и эксплорер обновил. Но чё-то эксплорер 8 глюченый какой-то, как захожу в него он автоматически открывает вкладку на которой написано "подключение" и зависает намертво. Только волшебная комбинация Ctrl+alt+del спасает от этого.) Логи прикрепляю.

[Night]

sptd по прежнему сам удаляется из системы... Точнее сам sptd.sys. А в реестре все записи по прежнему висят... Может я что не так объясняю?...) Дело в том что он(sptd.sys) удаляется сам после каждой перезагрузки(из папки system32), но в реестре записи остаются. Что бы он снова работал приходится: чистить записи о нём в реестре,

(вот те которые я чищу каждый раз после того как он удаляется для ясности:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\R oot\LEGACY_SPTD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\Root\ LEGACY_SPTD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Enum\Root\ LEGACY_SPTD
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd
HKEY_LOCAL_MACHINE\SOFTWARE\14919ea49a8f3b4aa3cf10 58d9a64cec

, перезагружаться, устанавливать sptd, снова перезагружаться(что б DT заработал и SPTD функционировал) и только после этого оно работает, до первого выключения компьютера или перезагрузки. Но как перезагрузка, так драивер исчезает и DT не работает) С этой траблой я уже как пол года мучаюсь, из поисковиков выжал последние соки, ничего полезного. Может всё таки есть какое-нибудь научное обьяснение тому что sptd сам с системы удаляется?) Прог я никаких вроде не ставил подобных что бы удаляли дрова сами. Разве что CCleaner, и то я его заюзал пару раз и всё, но эта трабла до CCleaner возникла. Я помню когда давным давно решил Daemon Tools убить, убивал его через диспетчер устроиств и что-то там намудрил) После этого DT перестал работать, в то время как Alcohol120% работал на все 120%! Может alcohol использует свой драивер наподобие sptd и поэтому тот драивер и удаляет sptd c системы?... Хм только сеичас в голову пришло! Может есть смысл удалить DT и Alcohol, со всеми их драиверами из системы и попробывать снова установить? Только как узнать какой драйвер использует Alcohol? хм...
Только сеичас вспомнил Alcohol, после того как удалил(пытавшись вернуть DT), я его не устанавливал! Т.е. может какие файлы от него остались наподобие sptd которые косвенно к нему относятся но его у меня вроде в системе нету!

[PavelA]

Сделай лог GetsystemInfo. утилита с сайта Касперского.

[Night]

сделал! Я сам из любопытства посмотрел что в фаиле этом относительно sptd написано, и заметил что написано

System32\Drivers\sptd.sys - stopped (boot)

похоже в этом проблема?) Я помню когда удалял sptd:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd

- значение start ставил на 4, но сеичас оно стоит на 0 т.е. вкл. но драивер все равно не работает. странно это всё!

[thyrex]

Отчет почему сделали старой версией утилиты?

[Night]

Я скачал только что эту версию с сайта касперского! Другой не видел!
Вот ещё нашел сеичас в диспетчере устройств на вкладке "SCSI и RAID контроллеры" устроиство "VAX347S SCSİ controller" это похоже от алкоголя и оно включено. Значит это из-за него проблема с SPTD?

[Night]

Нашел ещё одну версию Getsysteminfo 4.0. Вот лог с неё.

[Night]

Всё, я разобрался сам. Всем спасибо, тему можно закрывать.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 2
• В ходе лечения вредоносные программы в карантинах не обнаружены