Подключение "Шлюз интернета"

[SvetaLo]

Добрый день,

Периодически в сетевых подключениях появляется подключение типа "Шлюз интернета" в состоянии "подключено". При отключении подключается автоматически примерно через минуту. От использования "обычного" подключения (высокоскоростного) к интернету не зависит. Заметила шлюз, когда стала получать оповещения об автоматическом обновлении антивирусных баз при отключенном интернете, при этом, также остаются активны аська и скайп, а для IExplorer'a интернета нет.
В свойствах шлюза указана куча служб, которые могут его использовать, снимаю все "галочки", отключаю шлюз, но после восстановления подключения обязательно оказываются проставленными "галочки" для служб uTorrent и Teredo. Первоначально в перечне служб включены также Skype, ee2 и абра-кодабра из комбинации 10-12 букв и цифр. Логи сделаны при наличии шлюза

[Шапельский Александр]

Пофиксить в Hijack следующие строки:

Код:

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

Выполнить скрипт

Код:

begin
DeleteFileMask(GetAVZDirectory+'Quarantine','*.*',true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\MATLAB6\toolbox\rtw\targets\xpc\target\kernel\embedded\xpcboot.com','');
 QuarantineFile('C:\DOCUME~1\Tanya\LOCALS~1\Temp\GLK1CEA.tmp','');
 QuarantineFile('C:\DOCUME~1\Tanya\LOCALS~1\Temp\GLC1CE9.tmp','');
 QuarantineFile('c:\docume~1\tanya\locals~1\temp\rar$ex00.906\aawsepersonal.exe','');
 TerminateProcessByName('c:\docume~1\tanya\locals~1\temp\rar$ex00.906\aawsepersonal.exe');
 QuarantineFile('C:\WINDOWS\system32\asplg.sys','');
 DeleteService('asplg');
 RegKeyDel('HKLM','SOFTWARE\Microsoft\Code Store Database\Distribution Units\{DE625294-70E6-45ED-B895-CFFA13AEB044}');
 DeleteFile('C:\WINDOWS\system32\asplg.sys');
 DeleteFile('c:\docume~1\tanya\locals~1\temp\rar$ex00.906\aawsepersonal.exe');
 DeleteFile('C:\DOCUME~1\Tanya\LOCALS~1\Temp\GLC1CE9.tmp');
 DeleteFile('C:\DOCUME~1\Tanya\LOCALS~1\Temp\GLK1CEA.tmp');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.

Затем следующий

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

файл quarantine.zip закачайте по ссылке Прислать запрошенный карантин
в шапке Вашей темы.
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.

[SvetaLo]

карантин послала. Шлюз после перезагрузки исчезает, пока не появился, вот логи

[Шапельский Александр]

В логах чисто, проблемы решены?
Рекомендую обновить, иначе могут быть проблемы:
- Windows XP SP2 до Windows XP SP3, возможно потребуется активация;
- Internet Explorer v6.00 до Internet Explorer v8.00;
- установить последние обновления на ОС.

[SvetaLo]

Здравствуйте,

нет Снова появился шлюз, на сей раз IExplorer работает, пишу с "отключенным" соединением. Есть только подключение по локальной сети, по ipconfig вижу, что заполнен ip "Основного шлюза", который при отсутствии шлюза пустой.
Кто-то кого-то пользует чтоли.. в поддержке провайдера говорят, что ничего такого быть не должно
Про обновления буду иметь в виду

[Шапельский Александр]

Сделайте лог MBAM

[SvetaLo]

вот лог

[Шапельский Александр]

Удалите в MBAM

Код:

Заражено ключей реестра:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Settings\{fffc57db-1de3-4303-b24d-cee6dcdd3d86} (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\MyCentria (Adware.MyCentria) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RUNTIME (Rootkit.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Enum\Root\LEGACY_RUNTIME2 (Rootkit.Agent) -> No action taken.

Заражено значений реестра:
HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\{02ffac45-0b10-5633-4296-1801f1a36678} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Network\uid (Malware.Trace) -> No action taken.

Заражено параметров реестра:
(Вредоносные программы не обнаружены)

Заражено папок:
C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Application Data\wsnpoem (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\twain32 (Backdoor.Bot) -> No action taken.

Заражено файлов:
C:\Program Files\Miranda LEM Pack\Plugins\autorun.dll (Malware.Packer.Morphine) -> No action taken.
C:\WIN_XP\system32\dllcache\iissync.exe (Virus.Expiro) -> No action taken.
D:\Distr_OS\OS\winxpsp2\crack\1\WPA_Kill.exe (Trojan.Hacktool) -> No action taken.
D:\Distr_OS\OS\winxpsp2\crack\2\Win XP Activation Crack English.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\LocalService.NT AUTHORITY\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\Documents and Settings\NetworkService.NT AUTHORITY\Application Data\wsnpoem\audio.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\twain32\local.ds (Backdoor.Bot) -> No action taken.
C:\WINDOWS\system32\twain32\user.ds (Backdoor.Bot) -> No action taken.
C:\Documents and Settings\Sveta\Application Data\wiaserva.log (Malware.Trace) -> No action taken.
C:\NTDETECT.EXE (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\9g234sdfdfgjf23 (Worm.KoobFace) -> No action taken.
C:\WINDOWS\t55ft2808f44.dat (Worm.KoobFace) -> No action taken.
C:\WINDOWS\system32\winlogon.bak1 (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\winlogon.bak2 (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\winlogon.bak3 (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\winlogon.bak4 (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\winlogon.bak5 (Heuristics.Reserved.Word.Exploit) -> No action taken.
C:\WINDOWS\system32\winlogon.bak6 (Heuristics.Reserved.Word.Exploit) -> No action taken.

Сделайте лог MBAM.

[SvetaLo]

вот лог

[Шапельский Александр]

Что с проблемой?

Добавлено через 4 минуты

Рекомендую обновить:
- Windows 5.1.2600 Service Pack 2 до Windows 5.1.2600 Service Pack 3, возможно потребуется активация;
- Internet Explorer 6.0 до Internet Explorer 8.0;
- установить последние обновления на ОС.
Если Вы этого не сделаете, могут появится новые проблемы!

[SvetaLo]

Добрый день,

шлюза нет пока. Обновлениями займусь, спасиба

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 13
• В ходе лечения вредоносные программы в карантинах не обнаружены