Чем вылечить хрень на компе?

[gls]

Ведет себя пока безопасно, но постоянно лезет в инет. Вижу ее в проге NetLimiter. Прячется под файл svchost(1184) или под system (так пишет NetLimiter). Один из IP куда конектится 113.128.178.190: 137. Сам NetLimiter как файерволл системные процессы не закрывает. Могу только скорость до 0 ограничивать.
Пробовал утилитами Др. Веб и Касперского - не видят
Что с ним делать то?

[Gobzavr]

1. Скачать AVZ
2. Открыть
3. Файл -> Исследование системы -> Пуск -> Сохранить файл -> Куда то сохраняем, что бы потом нашли только
4. На выходе получим файл avz_sysinfo.htm
5. Разместите его в интернете на любой из датахостингов, например http://slil.ru/
6. Ссылку на скачку с датахостинга в студию

[gls]

Если появится опять так и сделаю, пока скачал Avira AntiVir Personal и он понаходил всякой "каки". Пока вроде все нормально...Сенкс за участие

[tvn2009]

Если появится опять так и сделаю, пока скачал Avira AntiVir Personal и он понаходил всякой "каки". Пока вроде все нормально...Сенкс за участие

Хороший выбор для постоянной защиты, но для лечения я бы еще посоветовал drweb CureIt полное сканирование в безопасном режиме...

[Happy Man]

Хороший выбор для постоянной защиты, но для лечения я бы еще посоветовал drweb CureIt полное сканирование в безопасном режиме...

+1 Всегда им спасаюсь

[proticop]

Чем вылечить хрень на компе?

Клин - клином вышибают значит Хрень нужно убить хренью.

[Gobzavr]

Если появится опять так и сделаю, пока скачал Avira AntiVir Personal и он понаходил всякой "каки". Пока вроде все нормально...Сенкс за участие

Хорошее решение, поставьте еще HIPS какой то, типо Сomodo, и автозапуски отрубите с дисков!

Я уже не говорю о повседневных посиделках из под локального пользователя, а не локального админа - все равно бесполезно

[spl]

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
это зер гут

[gls]

http://devbuilds.kaspersky-labs.com/devbuilds/AVPTool/
это зер гут

нашел, что-то , но не помогло

[gls]

1. Скачать AVZ
2. Открыть
3. Файл -> Исследование системы -> Пуск -> Сохранить файл -> Куда то сохраняем, что бы потом нашли только
4. На выходе получим файл avz_sysinfo.htm
5. Разместите его в интернете на любой из датахостингов, например http://slil.ru/
6. Ссылку на скачку с датахостинга в студию

вот залил то, что просили

[Obelix]

!

[Gobzavr]

Авзшкой давайте, так и будем гадать

[gls]

Авзшкой давайте, так и будем гадать

запустил...

[Gobzavr]

Файл - выполнить скрипт

Код:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DE625294-70E6-45ED-B895-CFFA13AEB044}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{04849C74-016E-4a43-8AA5-1F01DE57F4A1}');
 QuarantineFile('C:\WINDOWS\system32\yv12vfw.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\dwprot.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
 DeleteFile('C:\WINDOWS\system32\yv12vfw.dll');
 BC_DeleteFile('C:\WINDOWS\system32\yv12vfw.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','VIDC.YV12');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки еще раз анализ

[gls]

Файл - выполнить скрипт

Код:

begin
SetAVZPMStatus(True);
SetAVZGuardStatus(True);
SearchRootkit(true, true);
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DE625294-70E6-45ED-B895-CFFA13AEB044}');
 DelBHO('{92780B25-18CC-41C8-B9BE-3C9C571A8263}');
 DelBHO('{04849C74-016E-4a43-8AA5-1F01DE57F4A1}');
 QuarantineFile('C:\WINDOWS\system32\yv12vfw.dll','');
 QuarantineFile('C:\WINDOWS\System32\drivers\dwprot.sys','');
 DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
 BC_DeleteFile('C:\WINDOWS\System32\drivers\dwprot.sys');
 DeleteFile('C:\WINDOWS\system32\yv12vfw.dll');
 BC_DeleteFile('C:\WINDOWS\system32\yv12vfw.dll');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Drivers32','VIDC.YV12');
BC_ImportDeletedList;
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После перезагрузки еще раз анализ

вот то что красным:
Функция NtCreateKey (29) перехвачена (8057065D->F841E0E0), перехватчик spgn.sys
Функция NtEnumerateKey (47) перехвачена (80570D64->F8438E4C), перехватчик spgn.sys
Функция NtEnumerateValueKey (49) перехвачена (8059066B->F84391DA), перехватчик spgn.sys
Функция NtOpenKey (77) перехвачена (80568D59->F841E0C0), перехватчик spgn.sys
Функция NtQueryKey (A0) перехвачена (80570A6D->F84392B2), перехватчик spgn.sys
Функция NtQueryValueKey (B1) перехвачена (8056A1F1->F8439132), перехватчик spgn.sys
Функция NtSetValueKey (F7) перехвачена (80572889->F8439344), перехватчик spgn.sys

еще:
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[06] = [F894B85B] C:\WINDOWS\system32\Drivers\HaspNT.sys, драйвер опознан как безопасный
>>> Опасно - подозрение на подмену адреса ЦП[1].IDT[0E] = [F894B7A0] C:\WINDOWS\system32\Drivers\HaspNT.sys, драйвер опознан как безопасный

еще:

\FileSystem\ntfs[IRP_MJ_CREATE] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_CLOSE] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_WRITE] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_INFORMATION] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_INFORMATION] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_EA] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_EA] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_VOLUME_INFORMATION] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_VOLUME_INFORMATION] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DIRECTORY_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_FILE_SYSTEM_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_DEVICE_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_LOCK_CONTROL] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_QUERY_SECURITY] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_SET_SECURITY] = 823DD1F8 -> перехватчик не определен
\FileSystem\ntfs[IRP_MJ_PNP] = 823DD1F8 -> перехватчик не определен

к сожелению я мало знаю про скрипты . Это создать текстовый файл т как-то переименовать расширение?

[Gobzavr]

к сожелению я мало знаю про скрипты . Это создать текстовый файл т как-то переименовать расширение?

Єто код скрипта вставить туда куда я написал

Перехватчики - от антивируса
Прямого чтения с диска нету?

[gls]

Єто код скрипта вставить туда куда я написал

Перехватчики - от антивируса
Прямого чтения с диска нету?

я понял ...написал, что ошибка ";" expected в позиции 21:1 ....похоже на синтаксис ...и где?

[Gobzavr]

";" expected в позиции 21:1 ....похоже на синтаксис ...и где?

Строка 21, символ 1 отличается от того что я написал

[gls]

Строка 21, символ 1 отличается от того что я написал

я вижу 20 строк. а не 21 ???

[gls]

в Опере не был включен ява-скрипт и я не видел последней строи : End. Загрузил IE и увидел....скрипт выполнился, комп перезагрузился...сейчас повторно сканирую....