Инет вылетает

[Gizzy]

Вылетает инет. Все начинает с того как включаю интерент и захожу в оперу, сразу же аваст блокирут какой то вирус, потом инет может не отключатся если не зайти в онлайн игру или же просто открыть приложение вконтакте( слушать музыку, смотреть видео)... после того как инет отключается, выходит перезапуск подключения, но без ошибки.. звонил в тех поддержку своего инетпровайдера, сказали что интернет отключает сам юзер, т.е я

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Пофиксите в hijackthis -

Код:

O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 TerminateProcessByName('c:\windows\cfdrive32.exe');
 QuarantineFile('c:\windows\cfdrive32.exe','');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
 QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
 QuarantineFile('C:\WINDOWS\system32\64.exe','');
 QuarantineFile('C:\WINDOWS\system32\86.exe','');
 QuarantineFile('C:\WINDOWS\system32\16.exe','');
 QuarantineFile('C:\WINDOWS\system32\24.exe','');
 QuarantineFile('C:\WINDOWS\system32\42.exe','');
 DeleteFile('C:\WINDOWS\system32\42.exe');
 DeleteFile('C:\WINDOWS\system32\24.exe');
 DeleteFile('C:\WINDOWS\system32\16.exe');
 DeleteFile('C:\WINDOWS\system32\86.exe');
 DeleteFile('C:\WINDOWS\system32\64.exe');
 DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');  
 BC_ImportAll;
 ExecuteSysClean;
 ExecuteWizard('TSW',2,2,true);
 ExecuteRepair(11);
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

Код:

begin
  CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
 end.

Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.

- Повторите логи

- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[Gizzy]

Не знаю правильно ли логи выложил, скажите если что не так

[olejah]

Логи АВЗ как-будто старые -

Сканирование запущено в 09.09.2010 15:21:02

Нужны новые

[Gizzy]

Эм.. а как достать новые логи?.. попробовал прогнать ещё раз скрипт, логи не появились

[olejah]

Нужно заново выполнить правила, то есть провести сканирование, перед этим удалив старые логи.

[Gizzy]

1. В HiLack`e нет строки O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2. Выполнил скрипт, в папке авз LOG ничего не появилось

что делать

[olejah]

Какой Вы скрипт выполнили? Нужно выполнять пункты правил, помните как Вы делали, чтобы появились первые логи, которые висят у Вас в первом сообщении, вот надо точно так же.

[Gizzy]

Вот новые

[olejah]

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление

Выполните скрипт в АВЗ -

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 DeleteFile('C:\WINDOWS\system32\17.exe');
 DeleteFile('C:\WINDOWS\system32\06.exe');
 DeleteFile('C:\WINDOWS\system32\51.exe');
 DeleteFile('C:\WINDOWS\system32\71.exe');
 DeleteFile('C:\WINDOWS\system32\84.exe');
 DeleteFile('C:\WINDOWS\system32\80.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\WINDOWS\system32\83.exe');
 DeleteFile('C:\WINDOWS\system32\22.exe');
 DeleteFile('C:\WINDOWS\system32\76.exe');     
 DeleteFile('C:\WINDOWS\system32\35.exe');
 DeleteFile('C:\WINDOWS\system32\70.exe');
 DeleteFile('C:\WINDOWS\system32\57.exe');  
 BC_ImportAll;
 ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

- Сделайте лог МВАМ

[Gizzy]

Вот

[olejah]

Удалите в МВАМ всё кроме -

Код:

Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

- Перезагрузитесь

- Проведи повторную проверку МВАМ

- Новый лог приложите сюда

[Gizzy]

вот

[olejah]

Удалите в МВАМ -

Код:

Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.AutoRun) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Администратор\Local Settings\Temp\019244.exe (Heuristics.Shuriken) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\1070.exe (Heuristics.Shuriken) -> No action taken.

- Повторите лог МВАМ

[Gizzy]

вот

[olejah]

По логу МВАМ, всё чисто, а по Вашим наблюдениям? В частности интересует наличие процессов msvmiode.exe и cfdrive32.exe

[Gizzy]

Как можно проверить эти процессы?

[olejah]

Через диспетчер задач(собственно Ctrl+Alt+Del).

[Gizzy]

Этих процессов нет

[olejah]

В логах плохого не увидел, проблема решена?