Пару дней назад залетел "шпион", DrWeb определил его, как Trojan.Qhost.985 в файле C:\WINDOWS\system32\drivers\etc\hosts и заменил его на чистый. С тех пор не могу зайти ни на один сайт антивирусов, а также на сайты типа viruslist и ему подобные. Сканер больше ничего не находит, загрузился через Live CD, нашел еще по одному файлу в C:\Recycled\ и в C:\System Volume Information\. Надо было, наверное, сохранить их, я же, то ли по своей тупости, то ли по тугодумию, побыстрей избавился от них. Удаление ни к чему не привело, на сайты зайти так и не получается. Если сможете чем-то помочь, буду премного благодарен! Логи, согласно правилам форума, прилагаю.
Не могу попасть на сайты антивирусов
#1
Отправлено 07 Февраль 2010 - 18:06
Пару дней назад залетел "шпион", DrWeb определил его, как Trojan.Qhost.985 в файле C:\WINDOWS\system32\drivers\etc\hosts и заменил его на чистый. С тех пор не могу зайти ни на один сайт антивирусов, а также на сайты типа viruslist и ему подобные. Сканер больше ничего не находит, загрузился через Live CD, нашел еще по одному файлу в C:\Recycled\ и в C:\System Volume Information\. Надо было, наверное, сохранить их, я же, то ли по своей тупости, то ли по тугодумию, побыстрей избавился от них. Удаление ни к чему не привело, на сайты зайти так и не получается. Если сможете чем-то помочь, буду премного благодарен! Логи, согласно правилам форума, прилагаю.
#3
Отправлено 07 Февраль 2010 - 18:21
Дополнительно ко всему, сделайте, пожалуйста, экспорт ветки реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes - ветка, где хранится таблица маршрутизации.
Можно юзать route print, чтобы увидеть есть ли левые маршруты.
ыЫ
#4
Отправлено 07 Февраль 2010 - 18:32
#5
Отправлено 07 Февраль 2010 - 19:23
Как найти
http://wiki.drweb.com/index.php/Скрытые_процессы
Проверить на вирустотал
C:\Documents and Settings\User\Local Settings\Temp\AutoRun.exe
#6
Отправлено 07 Февраль 2010 - 19:39
Прикрепленные файлы:
#8
Отправлено 07 Февраль 2010 - 19:43
Что с этим?C:\WINDOWS\system32\sdra64.exe -однозначно в вирлаб.
Как найти
http://wiki.drweb.com/index.php/Скрытые_процессы
Проверить на вирустотал
C:\Documents and Settings\User\Local Settings\Temp\AutoRun.exe
#9
Отправлено 07 Февраль 2010 - 20:21
Я вообще такого файла не нахожу, и сканер, похоже не нашел, т.к. ничего не скопировал. Все, вроде бы, делал по инструкции "Скрытые процессы"C:\WINDOWS\system32\sdra64.exe -однозначно в вирлаб.
Вы уж извините за мое лузерство, но что значит проверить на вирустотал?Проверить на вирустотал
C:\Documents and Settings\User\Local Settings\Temp\AutoRun.exe
#10
Отправлено 07 Февраль 2010 - 20:23
#11
Отправлено 07 Февраль 2010 - 20:37
Прикрепленные файлы:
#12
Отправлено 07 Февраль 2010 - 20:51
Заработало!!!Пуск -> Выполнить -> cmd
Далее, выполните команду:
route -f
После этого перезагрузите компьютер.
Спасибо огромное!
А что с этим делать:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe
#14
Отправлено 07 Февраль 2010 - 21:03
#15
Отправлено 07 Февраль 2010 - 21:05
Пофиксить в Хайджеке и посмотреть, не появляется ли запись снова после повторного сканирования Хайджеком.А что с этим делать:
UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\sdra64.exe
Борис А. Чертенко aka Borka.
#16
Отправлено 07 Февраль 2010 - 23:21
#17
Отправлено 07 Февраль 2010 - 23:51
#18
Отправлено 07 Февраль 2010 - 23:54
Не можно, а нужно пофиксить в хайджеке, Вам уже Borka писал постом вышеНашел C:\WINDOWS\system32\sdra64.exe в реестре, можно ли этот параметр оттуда удалить? На работу системы это не повлияет?
#19
Отправлено 08 Февраль 2010 - 00:26
#20
Отправлено 08 Февраль 2010 - 00:32
Да.Удалил, проверил хайджеком, там этой строки сейчас вообще нет. По всей видимости, так и должно быть?
Борис А. Чертенко aka Borka.
Читают тему: 0
0 пользователей, 0 гостей, 0 скрытых