Запускаются неизвестные процессы (cidrive32,615,222,125 итд) Отключаеться интернет.

[Spokuha]

Здравствуйте,у меня такая проблема - запускаются различные процессы,часто выключаеться интернет,также не запускаються антивирусные программы пока их не переименовать, а также не заходит на различные сайты антивирусов (в том числе на ваш). Запускал кидокиллер (лаб.Касперского) вроде как помогло,но патом всё стало как прежде (он через каждые 2-3 часа находит новые нет-вормы). При этом я не чего не качал, не заходил не на какие подозрительные сайты,не вставлял флешек,дисков и прочих девайсов.
Заранее извиняюсь если не так оформил или чего напортачил, я сдесь впервые.

P.S hijackthis (именно программу, не лог) я переименовал в ыыыыв (извиняюсь за такую голимость если не разберётесь магу переименовать ещё какнибуть) просто не запускалось)

[Spokuha]

Ап
Также ещё немного информации
1. Вылазеют процессы с цифровыми названиями (125,612 итд могу подкинуть скрин если потребуется, чуть чуть
покапавшись выяснил что запускаються они с C:\Documents and Settings\Тёма\Local Settings\Temp я порылся и
нашол что такие файлы и вправду есть, но удалять не стал думаю подождать вашего решения.
2. Не запускаеться безопасный режим.
3. Кидокиллер постоянно находит кидо в svchost.exe (даже после удаления через пару часов он там о5 появляеться)
4. Также левые процессы включены и роботают только кагда запущен интернет.
5. Недавно решил проверить папку Temp нашло около тыщи вирусов...всё удалило но есть проблемка...после перезагрузки там опять тыща...выложу пару скринов мб будет интересно.(на фон не обращайте внимания)

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\RECYCLER\S-1-5-21-8190772677-0271330392-722662499-7225\syscr.exe','');
 DeleteFile('C:\RECYCLER\S-1-5-21-8190772677-0271330392-722662499-7225\syscr.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сделайте новые логи полиморфным AVZ (ссылка в моей подписи) + лог gmer

[Spokuha]

Логи

[thyrex]

Выполните скрипт в AVZ

Код:

begin
ExecuteRepaiR(9);
RebootWindows(true);
end.

Компьютер перезагрузится.

Сделайте новый лог virusinfo_syscheck.zip

[Spokuha]

Вот.
Эх опять началось.. я уж было подумал что вирусы удалились...анн нет в папке Temp опять кланируються непонятные вирусы
Закинул скрин название Vot tak vot там видно какой тип вируса.

[thyrex]

Проблема решена?

[Spokuha]

Хотя вроде бы да. А кстати если заново появится мне отписываться в этуже тему?

[thyrex]

Сделайте еще такой лог http://virusinfo.info/showpost.php?p=493610&postcount=1

[Spokuha]

Сделано.

[thyrex]

Зверье побито

1. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::

Driver::

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8452:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

2. Содержимое папки c:\program files\VRazvedke восстановите из карантина http://virusinfo.info/showpost.php?p=514765&postcount=3 или установите заново

[Spokuha]

Pew
Хмм и всё равно запускаються эти различные процессы с цифровым именем...

[thyrex]

В ход пошел Kido

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::

File::
c:\windows\system32\uqytg.dll

Driver::
xttvnjbsp

NetSvc::
xttvnjbsp

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8452:TCP"=-

FileLook::

DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[Spokuha]

Извините за столь долгую задержку - интернет опять вырубился. Звонил провайдеру они говорят что толи вирус порты блочит толи ещё что то кароче сказали последний раз мне врубают.
И кстате появились несколько процов которые после отключения сразу врубаются и грузят цп
Вот их названия wdfmgr.exe wuaclt.exe.
Кидаю обещанные логи с combofix.
А вот ещё мб это вам чтолибо скажет кагда проверяю комбой во время проверки пишет типо PEV.cfxxe обнаружена ошибка и всё начинает жутко лагать\

[Spokuha]

ап)

[thyrex]

Что с обрывами соединений после работы ComboFix?

[Spokuha]

Как раз после теста соединение оборвалось. Вчера званил провайдеру. Сёдня уже врубили интернет,вроде всё тихо. Если ещё раз инет упадёт я наверно уже буду мастера вызывать)
Ну спасибо за помощь без вас давно бы уже сидел курил в стороне)

[thyrex]

Удалите ComboFix

Установите все обновления для системы, вышедшие после SP3
Установите Internet Explorer 8
Установите Adobe Acrobat 9.3 или удалите старый

[Spokuha]

А обязательно ИЕ устанавливать? Всё равно им не пользуюсь...

[thyrex]

Обязательно. Установка новых версий позволяет закрывать дыры в безопасности системы