Подозрение на вирус

[Artem83]

Подозрение на вирус интернет периодически не включается антивирус ничего не находит

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
TerminateProcessByName('c:\windows\system32\drivers\instmsx.exe');
QuarantineFile('C:\WINDOWS\system32\04.scr','');
 QuarantineFile('C:\WINDOWS\TEMP\xfgnp.exe','');
 QuarantineFile('c:\windows\system32\drivers\instmsx.exe','');
 DeleteFile('c:\windows\system32\drivers\instmsx.exe');
 DeleteFile('C:\WINDOWS\TEMP\xfgnp.exe');
DeleteFile('C:\WINDOWS\system32\04.scr');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи + лог gmer + лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[Artem83]

Перестали приниматься пакеты, ничего не пингуется...

[Alex Plutoff]

- сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, что и GMER находится

Код:

nyp6xp0n.exe -del service aqyvbce
nyp6xp0n.exe -del file "C:\WINDOWS\system32\vplbzgr.dll"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet010\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet008\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet007\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet006\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet005\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet004\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\aqyvbce"
nyp6xp0n.exe -del reg "HKLM\SYSTEM\ControlSet001\Services\aqyvbce"
nyp6xp0n.exe -reboot

...и запустите его двойным кликом мыши на исполнение, после перезагрузки компьютера, сделайте новый логи

[Artem83]

nyp6xp0n.exe -del file "C:\WINDOWS\system32\vplbzgr.dll"
при удалении написал что не нашел такого файла

[thyrex]

Не обращайте внимания.

Делайте новый лог + новый лог ComboFix

[Artem83]

Пакеты так и не проходят

[thyrex]

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

Folder::

NetSvc::
aqyvbce

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"1745:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

[Artem83]

Вот лог пинга так и нет...

[thyrex]

Удалите ComboFix

Пуск - Выполнить
Ввести route -f и нажать ОК. Перезагрузиться
Возможно потребуется пересоздать настройки сетевого подключения

[Artem83]

Спасибо все вроде бы заработало)

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 9
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\windows\system32\drivers\instmsx.exe - Net-Worm.Win32.Kolab.hfw ( DrWEB: BackDoor.IRC.Bot.173, BitDefender: Trojan.Agent.VB.BHV, AVAST4: Win32:Malware-gen )
  2. c:\windows\system32\04.scr - Backdoor.Win32.Rbot.kti ( DrWEB: BackDoor.IRC.Bot.173, AVAST4: Win32:Spyware-gen [Spy] )
  3. c:\windows\temp\xfgnp.exe - Backdoor.Win32.Rbot.kti ( DrWEB: BackDoor.IRC.Bot.173, AVAST4: Win32:Spyware-gen [Spy] )