Происходит постоянная подгрузка с интернета.

**Tymur A.** · 21.07.2010, 16:13

Добрый день.
Утром нашел несколько троянов,в том числе Trojan.Win32.Jorik.Bredolab.bq,после лечения сканирование AVPTools и AVIRA антивирус показывает отсутствие вредоносного ПО,но при старте постоянно происходит непрерывная подгрузка с интернета.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**AndreyKa** · 21.07.2010, 16:37

Закройте все программы. Запустите AVZ.
Выполните скрипт через меню Файл:

Код:

begin
SetAVZGuardStatus(True);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\crbaraf');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\crbaraf\Parameters');
 SetServiceStart('crbaraf', 4);
 SetServiceStart('.neecmoiipb', 4);
 QuarantineFile('C:\WINDOWS\system32\Drivers\crbaraf.sys','');
 DeleteService('.neecmoiipb');
 QuarantineFile('.neecmoiipb','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Tymur A.** · 21.07.2010, 17:02

карантин выслал и +

**Tymur A.** · 22.07.2010, 08:30

подгрузка продолжается, вчера находил TR\Crypt.ZPACK.Gen -AVIRA и Trojan.NtRootKit.9374 -De.Web CureIt

**AndreyKa** · 22.07.2010, 08:36

Закройте все программы. Запустите AVZ. Выполните скрипт через меню Файл:

Код:

begin
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\crbaraf.sys','');
 SetServiceStart('Mosvchs', 4);
 DeleteService('Mosvchs');
 DeleteService('crbaraf');
 QuarantineFile('Mosvchs.sys','');
 DeleteFile('C:\WINDOWS\system32\Drivers\crbaraf.sys');
 BC_DeleteSvc('crbaraf');
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate; 
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите файлы из карантина AVZ (см. приложение 3 Правил), используя ссылку Прислать запрошенный карантин, вверху этой темы.
Обновите базы AVZ.
Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Tymur A.** · 22.07.2010, 09:04

карантин выслал +

**Kuzz** · 22.07.2010, 12:10

1.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

procedure SVCFRQ(svcname:string);
var hfile:string;
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters');
hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters','ServiceDll');
if hfile<>'' then
 begin
 FSResetSecurity(hfile);
 QuarantineFile(hfile,'');
 DeleteFile(hfile);
 end else
  begin
    hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname,'ImagePath');
      if hfile<>'' then
        begin
        FSResetSecurity(hfile);
        QuarantineFile(hfile,'');
        DeleteFile(hfile);
        end else
        begin
        hfile:=GetEnvironmentVariable('SystemRoot')+'\system32\drivers\'+svcname+'.sys';
        FSResetSecurity(hfile);
        QuarantineFile(hfile,'');
        DeleteFile(hfile);
      end;
  end;
end;

begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SVCFRQ('crbaraf');
BC_DeleteSvcReg('crbaraf');
 QuarantineFile('C:\WINDOWS\system32\Drivers\crbaraf.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\klif.sys','');
 QuarantineFile('C:\Program Files\4GAME\LineageII\frost\frost.sys','');
 QuarantineFile('Asmcsrvordmt.sys','');
 QuarantineFile('C:\WINDOWS\system32\drivers\aec.sys','');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Прислать карантин согласно приложения 3 правил .
Загружать по красной ссылке вверху этой темы "Прислать запрошенный карантин"

Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Tymur A.** · 22.07.2010, 13:09

скрипт выполнил, после рестарта пропала возможность вставки файлов.

**thyrex** · 22.07.2010, 14:32

Выложите логи на файлообменник и дайте ссылки на них

**Tymur A.** · 22.07.2010, 15:17

Старт поиска в 'C:\WINDOWS\system32\drivers'
C:\WINDOWS\system32\drivers\crbaraf.sys
[ОБНАРУЖЕНИЕ] Троянская программа TR/Crypt.ZPACK.Gen
[ПРЕДУПРЕЖДЕНИЕ] Невозможно открыть файл.
[ПРЕДУПРЕЖДЕНИЕ] Удаление файла невозможно.
[УКАЗАНИЕ] Производится попытка выполнить действие с помощью ARK библиотеки.
[УКАЗАНИЕ] Файл был "удален"
Через некоторое время обнаруживается снова + постоянная активность в интернет.
Обновляю файлы + высылаю карантин (Файл сохранён как 100722_151721_virus_4c4828c19e094.zip )

**Kuzz** · 22.07.2010, 15:22

1. Скачайте "OSAM" (Online Solutions Autorun Manager). В меню драйверов правой кнопкой по crbaraf и выберите "Turn Run Off", потом подтвердите перезагрузку.

html-лог работы утилиты заархивируйте и прикрепите к своему сообщению

2.AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

Код:

procedure SVCFRQ(svcname:string);
var hfile:string;
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters');
hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname+'\Parameters','ServiceDll');
if hfile<>'' then
 begin
 FSResetSecurity(hfile);
 QuarantineFile(hfile,'');
 DeleteFile(hfile);
 end else
  begin
    hfile:=RegKeyStrParamRead('HKLM', 'SYSTEM\CurrentControlSet\Services\'+svcname,'ImagePath');
      if hfile<>'' then
        begin
        FSResetSecurity(hfile);
        QuarantineFile(hfile,'');
        DeleteFile(hfile);
        end else
        begin
        hfile:=GetEnvironmentVariable('SystemRoot')+'\system32\drivers\'+svcname+'.sys';
        FSResetSecurity(hfile);
        QuarantineFile(hfile,'');
        DeleteFile(hfile);
      end;
  end;
end;

begin
SetAVZPMStatus(True);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SVCFRQ('crbaraf');
BC_DeleteSvcReg('crbaraf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

3. Сделайте новый лог из пункта 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

**Tymur A.** · 22.07.2010, 16:04

2 файла + файл карантина (Файл сохранён как 100722_160505_virus_4c4833f1702b5.zip )

**AndreyKa** · 22.07.2010, 16:55

Tymur A., нажмите

под сообщением Kuzz.
В логе чисто. "Подгрузка с интернета" прекратилась?

**Tymur A.** · 22.07.2010, 17:25

Подгрузка прекратилась,спасибо Вам всем большое.

**CyberHelper** · 23.07.2010, 17:25

Статистика проведенного лечения:

Получено карантинов: 4
Обработано файлов: 21
В ходе лечения вредоносные программы в карантинах не обнаружены

Происходит постоянная подгрузка с интернета. (заявка № 83534)

Опции темы

Происходит постоянная подгрузка с интернета.

Антивирусная помощь

Итог лечения

Похожие темы

Ежедневно несколько раз происходит отключение Интернета

Что то не то происходит с работой интернета и в частности открытием страниц

Происходит разрыв интернета

Происходит постоянная утечка фтп паролей

Происходит постоянное отключение интернета

Ваши права в разделе