Перейти к содержимому


Фото
- - - - -

Не могу попасть на сайты антивирусов

Автор ohlamon , фев 07 2010 18:06

  • Please log in to reply
22 ответов в этой теме

#1 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 18:06

Здравствуйте!
Пару дней назад залетел "шпион", DrWeb определил его, как Trojan.Qhost.985 в файле C:\WINDOWS\system32\drivers\etc\hosts и заменил его на чистый. С тех пор не могу зайти ни на один сайт антивирусов, а также на сайты типа viruslist и ему подобные. Сканер больше ничего не находит, загрузился через Live CD, нашел еще по одному файлу в C:\Recycled\ и в C:\System Volume Information\. Надо было, наверное, сохранить их, я же, то ли по своей тупости, то ли по тугодумию, побыстрей избавился от них. Удаление ни к чему не привело, на сайты зайти так и не получается. Если сможете чем-то помочь, буду премного благодарен! Логи, согласно правилам форума, прилагаю.

Прикрепленные файлы:


#2 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 07 Февраль 2010 - 18:16

Дополнительно ко всему, сделайте, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
www.surfpatrol.ru

#3 Ko6Ra

Ko6Ra

    Supporter

  • Posters
  • 3 308 Сообщений:

Отправлено 07 Февраль 2010 - 18:21

Дополнительно ко всему, сделайте, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes


HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes - ветка, где хранится таблица маршрутизации.
Можно юзать route print, чтобы увидеть есть ли левые маршруты.

ыЫ

#4 Алексей.

Алексей.

    Advanced Member

  • Posters
  • 680 Сообщений:

Отправлено 07 Февраль 2010 - 18:32

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe - А ЭТО? :) FAKEALERT или WINLOCK...

#5 mrbelyash

mrbelyash

    Беляш

  • Members
  • 25 897 Сообщений:

Отправлено 07 Февраль 2010 - 19:23

C:\WINDOWS\system32\sdra64.exe -однозначно в вирлаб.

Как найти

http://wiki.drweb.com/index.php/Скрытые_процессы

Проверить на вирустотал

C:\Documents and Settings\User\Local Settings\Temp\AutoRun.exe
wiki https://drw.sh/endjcv | Утилиты https://drw.sh/dgweku | Лечить удаленно https://drw.sh/wmzdcl | Скрытые процессы https://drw.sh/tmulje | Логи https://drw.sh/ruy | Песочница https://drw.sh/exhbro

#6 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 19:39

Экспорт ветки:

Прикрепленные файлы:

  • Прикрепленный файл  11.rar   1,12К   65 Скачано раз

#7 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 07 Февраль 2010 - 19:41

Пуск -> Выполнить -> cmd
Далее, выполните команду:
route -f
После этого перезагрузите компьютер.
www.surfpatrol.ru

#8 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 07 Февраль 2010 - 19:43

C:\WINDOWS\system32\sdra64.exe -однозначно в вирлаб.

Как найти

http://wiki.drweb.com/index.php/Скрытые_процессы

Проверить на вирустотал

C:\Documents and Settings\User\Local Settings\Temp\AutoRun.exe

Что с этим?
www.surfpatrol.ru

#9 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 20:21

C:\WINDOWS\system32\sdra64.exe -однозначно в вирлаб.

Я вообще такого файла не нахожу, и сканер, похоже не нашел, т.к. ничего не скопировал. Все, вроде бы, делал по инструкции "Скрытые процессы"

Проверить на вирустотал

C:\Documents and Settings\User\Local Settings\Temp\AutoRun.exe

Вы уж извините за мое лузерство, но что значит проверить на вирустотал?

#10 Denis Lipnicky

Denis Lipnicky

    Poster

  • Moderators
  • 1 594 Сообщений:

Отправлено 07 Февраль 2010 - 20:23

ohlamon
Заходите сюда http://www.virustotal.com/ru/ и проверяете AutoRun.exe .
Так понятнее ?

#11 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 20:37

Понял, вот отчет:

Прикрепленные файлы:


#12 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 20:51

Пуск -> Выполнить -> cmd
Далее, выполните команду:
route -f
После этого перезагрузите компьютер.

Заработало!!! :)
Спасибо огромное!
А что с этим делать:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

#13 account has been deleted

account has been deleted

    Massive Poster

  • Posters
  • 2 837 Сообщений:

Отправлено 07 Февраль 2010 - 20:55

Заработало!!!
Спасибо огромное!
А что с этим делать:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

То что заработало хорошо, правда не факт что надолго.
Это надо искать, следите за темой, хэлперы подскажут что делать. :)
www.surfpatrol.ru

#14 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 21:03

Спасибо! Буду следить.

#15 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 07 Февраль 2010 - 21:05

А что с этим делать:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe

Пофиксить в Хайджеке и посмотреть, не появляется ли запись снова после повторного сканирования Хайджеком.
С уважением,
Борис А. Чертенко aka Borka.

#16 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 23:21

Да у меня окна и не появляются. Ловил где-то после Нового года, может с тех пор осталось. В тот раз от них удальсь быстро избавиться. А что это за программа: C:\WINDOWS\system32\userinit.exe, и почему я не нахожу C:\WINDOWS\system32\sdra64.exe, хотя хайджек увидел?

#17 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 07 Февраль 2010 - 23:51

Нашел C:\WINDOWS\system32\sdra64.exe в реестре, можно ли этот параметр оттуда удалить? На работу системы это не повлияет?

#18 Driver

Driver

    Advanced Member

  • Posters
  • 811 Сообщений:

Отправлено 07 Февраль 2010 - 23:54

Нашел C:\WINDOWS\system32\sdra64.exe в реестре, можно ли этот параметр оттуда удалить? На работу системы это не повлияет?

Не можно, а нужно пофиксить в хайджеке, Вам уже Borka писал постом выше :)

#19 ohlamon

ohlamon

    Newbie

  • Posters
  • 39 Сообщений:

Отправлено 08 Февраль 2010 - 00:26

Удалил, проверил хайджеком, там этой строки сейчас вообще нет. По всей видимости, так и должно быть?

#20 Borka

Borka

    Забанен за флуд

  • Members
  • 19 512 Сообщений:

Отправлено 08 Февраль 2010 - 00:32

Удалил, проверил хайджеком, там этой строки сейчас вообще нет. По всей видимости, так и должно быть?

Да.
С уважением,
Борис А. Чертенко aka Borka.
Назад к Помощь по лечению

Читают тему: 0

0 пользователей, 0 гостей, 0 скрытых

  1. Dr.Web forum
  2. Русские форумы
  3. Антивирусная лаборатория
  4. Помощь по лечению
  5. Privacy Policy
  6. Terms & Rules ·