Форум.FreeDom

[GMax]

Meister
Полная проверка Dr.web curlent:120 вирусов все вылечил кроме вмруса в atapi.sys я нажимаю лечить он вылечивается но выскакивает опять таже фигня вирус в atapy.tЕщёз повторюсь я в этом деле нуб скажи что такое служба служба DNC-клиент и где её остановить

Если про atapi.sys пишет, то скорее всего это TDSS руткит. Каким именем доктор определяет файл?
Про TDSS вот тут почитать можно -- http://www.drweb.com/static/BackDoor.Td ... a_TDL3.pdf

Спец программы лечения:
TDSSKiller from Kaspersky Lab http://support.kaspersky.com/downloads/ ... killer.zip
TDSS Remover from eSage Lab http://www.esagelab.com/files/tdss_remover_latest.rar
TDL3+ Cleaner from AT4RE http://www.at4re.com/request.php?145
Norman TDSS Cleaner http://download.norman.no/public/Norman ... leaner.exe

[razor2010]

GMax
я написал что не могу зайти на сайты связанные с вирусами

Добавлено спустя 4 минуты 2 секунды:
Diesel
когда я начал первый раз это делать то после перезагрузки комп не включился только через последнюю рабочюю конфигу

[GMax]

я написал что не могу зайти на сайты связанные с вирусами

и на esagelab.com тоже?

Ссылки на файлообменик:
TDSSKiller from Kaspersky Lab
http://rghost.ru/1292525
TDSS Remover from eSage Lab
http://rghost.ru/1292511

[Diesel]

http://dlpro.antivir.com/package/rescue ... mon-en.iso вот тут лежит LiveCD. Запишите образ на простую СD болванку загрузится с нее и проверить компьютер

[kesa]

у меня такое было.
route print - и сразу стало все ясно!
Были прописаны куча маршрутов....
route f - и все заработало!
Потом скачал и т.д. и т.п.

Добавлено спустя 8 минут 2 секунды:

я написал что не могу зайти на сайты связанные с вирусами

так может и хорошо, что не можешь - меньше вирусов....

[Diesel]

у меня такое было.
route print - и сразу стало все ясно!
Были прописаны куча маршрутов....
route f - и все заработало!
Потом скачал и т.д. и т.п.

Добавлено спустя 8 минут 2 секунды:

я написал что не могу зайти на сайты связанные с вирусами

так может и хорошо, что не можешь - меньше вирусов....

Не путайте теплое с мягким, если не знаете о чем речь идет.

[Chuluckan]

Словили вирус. Первый за последние года 3. Называется - Trojan.Siggen.

Вирус себя особо не проявлял, только вешал фотошоп, а также, за счет чего и был замечен - не позволял открыть сайты ни одного антивируса.

Дабы проверить - а не глюки ли это провайдера (что было также вероятно), полезли в файл /windows/system32/drivers/etc/hosts (открывается любым текстовым редактором). А там... все сайты антивирусов имею сопоставление с IP 0.0.0.0, вроде этого:

127.0.0.1 localhost
0.0.0.0 u99.eset.com
0.0.0.0 dnl-00.geo.kaspersky.com
0.0.0.0 update.microsoft.com
0.0.0.0 ftp.kasperskylab.ru
0.0.0.0 ftp.kaspersky.ru
0.0.0.0 http://www.drweb.com.ua
0.0.0.0 drweb.ru
0.0.0.0 http://www.symantec.com
0.0.0.0 shop.symantecstore.com
0.0.0.0 liveupdate.symantec.com
0.0.0.0 download.eset.com
0.0.0.0 update.eset.com

Отредактировали, оставив только строчку 127.0.0.1 localhost (такой вид имеет файл hosts по умолчанию):

127.0.0.1 localhost

И что же? И опять ни один сайт ни одной антивирусной программы не запустить.

Ок, скачали CureIt! от DrWeb (как скачать хорошо описано тут). Полечились ночку... Лечиться лучше на самом деле запуская CureIt с проверенной на другом компьютере флешке и перезагрузившись в SafeMode

И что бы вы думали?! Вируса нет, а сайты по прежнему не открываются. Шерстили интернет - ничего не нашли. Вообще, по Trojan.Siggen информации крайне мало.

Оказывается, данный зверек модифицирует следующий ключ реестра Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

(Примечание от 7 июня 2010: аналогичные испорченные ветки реестра могут находиться тут:
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet {номера}\Services\Tcpip\Parameters\PersistentRoutes)

По умолчанию он девственно чист, в нашем случае был забит записями типа "0.0.0.0,87.242.72.150,1" - то есть IP сайта drweb.com соответствовал IP 0.0.0.0 - естественно drweb.com не открывался.

Перезагружаем компьютер - и вуаля
Скопировано от сюда - http://ac-u.ru/blog/notes/553/
З.Ы. мне помогла чистка реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

[Lucky SB]

Оказывается, данный зверек модифицирует следующий ключ реестра Windows:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\PersistentRoutes

Ох уж эти хирурги-любители.
Все время норовят гланды через не то отверстие удалять.

Чтение route help поможет понять что в данном случае в реестр лазить необязательно.