вирус, скрытый руткитом

[hunter-12 0]

поймал вирус, антивирь не видит, действия руткита идут из sptd.sys и еще откуда-то

logs.zip

logs.zip

[K_Mikhail 807]

поймал вирус, антивирь не видит, действия руткита идут из sptd.sys и еще откуда-то

sptd.sys -- это нормально. Используется установленной у вас программой Alcohol 120%.

[hunter-12 0]

K_Mikhail

вы уверены, что он должен чтото менять? посмотрите логи, там еще uphclean....sys что то делает

[K_Mikhail 807]

K_Mikhail

вы уверены, что он должен чтото менять?

На счёт sptd.sys абсолютно уверен.

посмотрите логи, там еще uphclean....sys что то делает

Файлы C:\WINDOWS\system32\uphclean.exe и C:\WINDOWS\system32\drivers\uphclean.sys можно проверить на http://virustotal.com, хотя почти уверен, что это Microsoft User Profile Hive Cleanup Service.

UPD:

Скачал себе Microsoft User Profile Hive Cleanup Service, поставил. RootKit Unhooker выдаёт перехват той же функции, что и у вас в логе Report.txt:

===

NtUnloadKey

Actual Address 0xF5C0F6D0

Hooked by: C:\WINDOWS\system32\Drivers\uphcleanhlp.sys

===

[hunter-12 0]

значит руткитов у мну нет?

[K_Mikhail 807]

значит руткитов у мну нет?

Вредоносных -- нет.

[hunter-12 0]

спасибо, обнадежили, только как вирус удалить, если его антивирь не видит?

[K_Mikhail 807]

спасибо, обнадежили, только как вирус удалить, если его антивирь не видит?

Какой из них не видит? Установленный у Вас NOD32?

Из лога Dr.Web CureIt!:

===

C:\Documents and Settings\Admin\Мои документы\Мои файлы\kolibri_ru\HD_load\9x2klbr\9x2klbr.exe инфицирован Trojan.Click1.3666 - отказ от лечения

===

с последующим

===

C:\Documents and Settings\Admin\Мои документы\Мои файлы\kolibri_ru\HD_load\9x2klbr\9x2klbr.exe - неизлечим - удален

===

Т.е. Вы удалили обнаруженный вредоносный код не сразу по запросу сканера на лечение, а по окончании самого процесса сканирования Dr.Web CureIt!.

Файлы C:\WINDOWS\system32\uphclean.exe, C:\WINDOWS\system32\drivers\uphclean.sys, c:\windows\system32\drivers\sptd.sys и не должны определяться как вредоносные.

[hunter-12 0]

нод не видит, вирь етот я скачал уже давно, это прога, незнаю почму там вирь, но я его не запускал никогда, это не изза него

у меня портится память, експлорер глючит, синие экраны переодические, некоторые проги отказываются работать, не работают некоторые службы,втч вин инсталлер, нет большого кол-ва иконок в панели управления, ярлыки не работают, работают только по правой кнопке и т.д., что делать?

[K_Mikhail 807]

нод не видит, вирь етот я скачал уже давно, это прога, незнаю почму там вирь, но я его не запускал никогда,

Откуда качали, кстати? Можете прямую ссылку привести?

это не изза него

По "проблемным" sptd.sys и uphclean.*, вроде как, разобрались... Других подозрительных мест, по логам, нет.

[hunter-12 0]

вирь по видимому либо новый, либо портит сигнатуры антивируса

З.Ы. а по вирусу - погуглите по колибриос, но там вроде уже эту прогу не включают, но это наверн не вирь

[K_Mikhail 807]

вирь по видимому либо новый, либо портит сигнатуры антивируса

Или, как вариант, -- либо его (вируса) просто нет, а есть проблемы, вызванные какими-то конфликтами ПО.

Ещё как вариант -- скиньте мне на m500[at]yandex.ru пару исполняемых файлов, допустим C:\Windows\Explorer.exe, C:\Windows\system32\svchost.exe

З.Ы. а по вирусу - погуглите по колибриос, но там вроде уже эту прогу не включают, но это наверн не вирь

Точное название (латинскими буквами), приведите, пожалуйста. А то из полезного по запросу нашлась лишь операционная система KolibriOS, сделанная на основе MenuetOS.

[hunter-12 0]

уже скидываю, но нод перестал ругаться вообще на что либо , а про колибри это оно и есть, там ее можно скачать и там будет этот файл вместе с ее утилитами, которые с ней в одном архиве лежат )(а может уже и нет утилиты) ))

[hunter-12 0]

а еще на другом форуме мне по минидампам сказали, что похоже ктото портит память

[Андрей-001 1099]

мне по минидампам сказали, что похоже ктото портит память

Если у вас стоят два модуля памяти (ОЗУ), выключите ПК, выньте один, включите ПК и если загрузится, то поработайте с одним некоторое время. Повторите процедуру с другим модулем. Так можно выявить глючный.

[hunter-12 0]

Андрей-001

у мну ноут и еще на гарантии

[Андрей-001 1099]

Андрей-001

у мну ноут и еще на гарантии

Ага, после вгляда на лог я вижу, что у вас ноутбук от ASUS.

Тогда надо немного почистить систему от наставленного.

То, что у вас сейчас - нуждается в кардинальной оптимизиции.

1) Деинсталлировать или отключить в HT все O3 - Toolbar:, в том числе Google Toolbar. Если стоит что-то от Google, то оно устаналивает службу обновления GoogleUpdate. Если в них нет особой нужды, то деинсталлируйте или пофиксите. Избавитесь заодно и от Service: Google.

2) Пофиксите все O2 - BHO:

3) Как для себя, так я бы пофиксил все пункты O4 - HKLM\..\Run: - кроме антивирусного [nod32kui]

Все эти технологии от ATI и ASUS ATK, Gear, а также Adobe, punto и пр. хрень.

Так в автозагрузке у вас останется только модуль антивируса и ctfmon.exe

4) WebMoney пусть запускается только от значка, если вы не производите ежесекундных денежных операций.

Не понял, что за драйвер a8vq3xyg.SYS... Проверьте его через VirusTotal.com

Сейчас получается такая картина, кроме автоматического обновления Windows, у вас работают службы Google, Adobe, ATI, ASUS, WebMoney, Punto... И все одни запускаются вместе с системой и жаждят обновления через Интернет.

Конечно виртальной памяти не хватит!

Кроме всего прочего работает ещё и torrent. Его также нужно приручить.

[hunter-12 0]

punto мне нужен, атк тоже, webmoney я уже удалил(????а откуда вмагент в памяти, надо разобраться!) HT что такое? и что такое BHO?гугль апдейтер я удолил, но чтото он после нескольких ребутов остается в памяти, уже становится понятно ))

[hunter-12 0]

ну есть тут кто, кто знает, что это за вирь?

[NOSS 130]

Установи Startup Faster! с ним легко за автозагрузкой следить, хотя иногда в msconfig заходи.Его тоже могут обойти.

[hunter-12 0]

я думал,что то дельное, у меня устновка не работает, как я могу эту чудопрогу поставить?? а лучше всего следить по реестру и системным файлам))

[Андрей-001 1099]

hunter-12

HT что такое? и что такое BHO?гугль апдейтер я удолил, но чтото он после нескольких ребутов остается в памяти, уже становится понятно ))

HT - HijackThis. Вы же логи делали в ней.

BHO - это так называемые "браузерные помощники", устаналиваются или с какой-то вашей программой или тайно, без вашего ведома.

В окне HijackThis проставье галочки на тех позициях, что я указал выше (выделил жирным шрифтом) и нажмите кнопку Fix. Дождитсь окончания и нажмите Scan. Просмотрите что осталось. Если выдастся запрос на перезагрузку - согласитесь.

GoogleUpdate - хуже вируса в том плане, что просто так его фиг удалишь.

В файле отчёта есть упоминание файла a8vq3xyg.SYS. Перешлите его на VirusTotal.com. Это может быть один из ваших драйверов, но что-то какой-то неведомый и с подозрительным названием.

Ссылку с результатами проверки вставьте сюда для просмотра.

После фикса сделайте ещё раз лог в HijackThis и приложите к сообщению.

Если меня не будет на линии, то другие форумчане посмотрят и подскажут.

[hunter-12 0]

пофиксил, драйвера этого как ни странно нет, вот лог

Кстати, у мну еще нод сдох, может из-за случайной установки гуарда авиры?( я хотел только антивирь его поставить, то бишь сканер, а поставил и гуард, чтоб удалить ребутнулся, а нод уже и не запускается, авиру удалил, нод как не запускался, так и не запускается)

hijackthis.rar

hijackthis.rar

[hunter-12 0]

ну, есть у кого мысли, что это за вирь?

З.Ы. снодом я уже разобрался

[Андрей-001 1099]

hunter-12

Отлючите "Восстановление системы"

Уберите из автозагрузки:

C:\Program Files\uTorrent [tfile.ru]\utorrent.exe

Удалите вручную (прям всю папку Google):

C:\Program Files\Google\Update\GoogleUpdate.exe

Пофиксите:

R3 - URLSearchHook: (no name) - {83821C2B-32A8-4DD7-B6D4-44309A78E668} - C:\Program Files\Mail.Ru\Agent\Mra\dll\newmrasearch.dll (file missing)

R3 - URLSearchHook: (no name) - - (no file)

R3 - URLSearchHook: ToolbarURLSearchHook Class - {CA3EB689-8F09-4026-AA10-B9534C691CE0} - C:\Program Files\WebMoney Advisor\tbhelper.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - Startup: CCC.lnk = ?

O8 - Extra context menu item: &Экспорт в Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Закачать ВСЕ при помощи Download Master - C:\Program Files\Download Master\dmieall.htm

O9 - Extra button: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)

O9 - Extra 'Tools' menuitem: WebMoney Advisor - {3AFFD7F7-FD3D-4C9D-8F83-03296A1A8840} - C:\Program Files\WebMoney Advisor\tbcore3.dll (file missing)

O9 - Extra button: Справочные материалы - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://arcade.icq.com/online/online2/luxor_2/mjolauncher.cab

O16 - DPF: {D0C0F75C-683A-4390-A791-1ACFD5599AB8} (Oberon Flash Game Host) - http://icq.oberon-media.com/Gameshell/Game...ronGameHost.cab

Если система была бы нелицензионная (к примеру), то ещё можно было бы пофиксить и

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1272107043484

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1272106997000[/url]

Отключите полностью дампирование.

Перезагрузите систему обычным способом.

Потом в разделе "Быстродействие" как на стриншоте сделайте у файла подкачки размер 2048-2048 (или 2046-2046).

Применить. ОК и ещё раз перезагрузить.

Если и после всего этого будут глюки, то несите ноут в сервис-центр не мешкая. См. так же, что я написал вам про сервис-центр.