Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] рутик sp**.sys (http://forum.oszone.net/showthread.php?t=279700)

OzZu 23-03-2014 22:13 2327584
рутик sp**.sys
 
Вложений: 1
Доброго времени суток.
Удалилась половина ярлыков на рабочем столе сделал восстановление системы. прошло.
avg нашел какой то файл в папке C:\Windows\System32\Drivers\spqt.sys файл постоянно генерируется название с расширением sp**.sys подозреваю что вирус.
логи прилагаю.

iskander-k 23-03-2014 22:30 2327597
Цитата:
Цитата OzZu
C:\Windows\System32\Drivers\spqt.sys файл постоянно генерируется название с расширением sp**.sys подозреваю что вирус. »
Нет- если у вас есть Alcohol 120% или Demon Tools.

Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
Код:
begin
 QuarantineFile('C:\Windows\xhunter1.sys','');
 DeleteFile('C:\Windows\xhunter1.sys','32');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.
После всех процедур выполните скрипт
Код:
begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
В результате выполнения скрипта будет сформирован карантин.Отправьте quarantine.zip при помощи этой формы. В теле письма укажите свой ник на форуме и ссылку на тему и её название.

Сделайте повторные логи AVZ + RSIT


HiJackThis. Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://loveplanet.ru/a-main/affiliate_id-49789/track-setStartpage/
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = Root: HKCU; Subkey: Software\Microsoft\Internet Explorer\SearchUrl; ValueType: string; ValueName: '; ValueData: '; Flags: createvalueifdoesntexist noerror; Tasks: AddSearchQip
R3 - URLSearchHook: (no name) -  - (no file)
O2 - BHO: AMD SteadyVideo BHO - {6C680BAE-655C-4E3D-8FC4-E6A520C3D928} - (no file)
O3 - Toolbar: Поиск WebAlta - {fe704bf8-384b-44e1-8cf2-8dbeb3637a8a} - mscoree.dll (file missing)

regist 23-03-2014 22:53 2327607
Скачайте Malwarebytes' Anti-Malware или с зеркала, установите (во время установки откажитесь от использования Пробной версии), обновите базы, выберите "Perform Full Scan" ("Полное сканирование"), нажмите "Scan" ("Сканирование"), после сканирования - Ok - Show Results ("Показать результаты") - Откройте лог, скопируйте в Блокнот и прикрепите его к следующему посту.
Самостоятельно ничего не удаляйте!!!
Если лог не открылся, то найти его можно в следующей папке:
Код:
%appdata%\Malwarebytes\Malwarebytes' Anti-Malware\Logs
Файл требующегося лога имеет имя mbam-log-[data] (time).txt, например: mbam-log-2013-11-09 (07-32-51).txt
Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.
Подробнее читайте в руководстве


+ Чтобы полностью удалить webalta, запустите AVZ - сервис - Поиск данных в реестре. В строку "образец" впишите webalta, нажмите "начать поиск", сохраните протокол и выложите в ответ. НИЧЕГО НЕ УДАЛЯЙТЕ САМОСТОЯТЕЛЬНО !!!.

OzZu 24-03-2014 02:28 2327731
Вложений: 5
отправил.
логи

regist 24-03-2014 13:10 2327875
Удалите мусор из корзины.

Повторите сканирование в MBAM если уже его закрыли, отметьте галочками указанные ниже строчки - нажмите "Remove Selected" ("Удалить выделенные" - смотрите, что удаляете).

Подробнее читайте в руководстве

Код:
Обнаруженные ключи в реестре:  8
HKCR\CLSID\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{61EB20A4-D4D5-4276-A2C9-DCCE8CE9F633} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{FE704BF8-384B-44E1-8CF2-8DBEB3637A8A} (PUP.Optional.ToolBar.WA) -> Действие не было предпринято.
HKCU\Software\1ClickDownload (PUP.Optional.1ClickDownload.A) -> Действие не было предпринято.
HKCU\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.
HKLM\Software\Iminent (PUP.Optional.Iminent.A) -> Действие не было предпринято.
HKLM\Software\InstallIQ (PUP.Optional.InstallBrain.A) -> Действие не было предпринято.
HKLM\SOFTWARE\SWEETIM (PUP.Optional.SweetIM.A) -> Действие не было предпринято.

Обнаруженные параметры в реестре:  2
HKCU\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.
HKLM\Software\SweetIM|simapp_id (PUP.Optional.SweetIM.A) -> Параметры: 11111111 -> Действие не было предпринято.
После удаления ещё раз просканируйте и прикрепите к своему сообщению новый лог.

еще раз запустите в AVZ поиск webalta, кликните ПКМ по списку, нажмите "выбрать все" и кнопку "удалить ... "

OzZu 24-03-2014 16:25 2327942
Вложений: 1
готово.

iskander-k 24-03-2014 22:40 2328089
Проблемы наблюдаются ?

OzZu 24-03-2014 23:26 2328103
Вложений: 2
Демо тулс удалил еще вчера но все равно ругается на эти файлы.

Sandor 25-03-2014 10:13 2328246
Цитата:
Цитата OzZu
ругается на эти файлы »
Это драйвер эмулятора диска, возможно от вашей программы UltraISO.
Можете его деинсталлировать.

OzZu 25-03-2014 21:31 2328520
Спасибо)

Sandor 26-03-2014 10:41 2328735
Для профилактики и защиты от повторных заражений скачайте и запустите SecurityCheck by glax24. Когда откроется отчет, скопируйте и вставьте его сюда, сам файл выкладывать не нужно. В отчете будет показано, что в вашей системе нуждается в обновлении и другие угрозы безопасности.
Скачайте и установите обновления по ссылкам.

Рекомендации после лечения.

OzZu 26-03-2014 20:08 2328981
Security Check by glax24 version 0.2.4.60 rc1
WebSite: www.safezone.cc
DateLog: 26.03.2014 20:03:22
Run directory: C:\Users\OzZu\AppData\Local\Temp\SecurityCheck\
Log directory: C:\SecurityCheck\
IsAdmin: True
FileVersionInet: 7.2
__________________________________________________

Windows 7 (6.1.7601) Service Pack 1 (x64) Ultimate Lang: Russian(0419)
Дата установки ОС: 25.06.2012 08:22:19
Статус лицензии: Windows(R) 7, Ultimate edition Постоянная активация прошла успешно.
Системный диск: C:\ ФС: NTFS Емкость: [684 Гб] Занято: [613.8 Гб] Свободно: [70.2 Гб]
Браузер по умолчанию: C:\Program Files (x86)\Opera\Opera.exe
-------------Windows------------------------------
Internet Explorer 9.0.8112.16421 Внимание! Скачать обновления
Контроль учётных записей пользователя включен
Загружать автоматически и уведомлять об установке обновлений
Дата установки обновлений: 2014-03-20 03:15:51
Центр обновления Windows (wuauserv) - Служба работает
Центр обеспечения безопасности (wscsvc) - Служба работает
-------------Antivirus_WMI------------------------
AVG Internet Security 2012
Антивирус обновлен
-------------Firewall_WMI-------------------------
AVG Internet Security 2012
-------------AntiSpyware_WMI----------------------
AVG Internet Security 2012
Windows Defender
-------------AntiVirusFirewallInstall-------------
AVG 2012 v.2012.1.2247
-------------AdobeProduction----------------------
Adobe Flash Player 11 ActiveX v.11.4.402.287 Внимание! Скачать обновления
Adobe Flash Player 11 Plugin v.11.7.700.202 Внимание! Скачать обновления
Adobe Reader XI (11.0.06) v.11.0.06
-------------Browser------------------------------
Mozilla Firefox 23.0 (x86 ru) v.23.0 Внимание! Скачать обновления
Opera 12.00 v.12.00.1467 Внимание! Скачать обновления
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
Opera 12.14 v.12.14.1738 Внимание! Скачать обновления
^Будет скачана последняя версия 12.16 (Для скачивания Opera на движке Chromium перейдите на www.opera.com)^
-------------RunningProcess-----------------------
C:\Program Files (x86)\Opera\opera.exe v.12.14.1738.0
-------------EndLog-------------------------------


Время: 20:37.

Время: 20:37.
© OSzone.net 2001-