Подвисает инет

Printable View

08.09.2011, 22:21
in7ane

Вложений: 3

Подвисает инет

Подвисает инет, нет доступа к вирусным сайтам и ещё некоторые неприятности. Посмотрите пожалуйста.
08.09.2011, 22:23
Info_bot

Уважаемый(ая) [B]in7ane[/B], спасибо за обращение на наш форум!

Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста [URL="http://virusinfo.info/content.php?r=113-virusinfo.info-donate"]поддержите проект[/URL].
09.09.2011, 10:53
V_Bond

выполните скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe','');
QuarantineFile('C:\Documents and Settings\Венера\Application Data\Iqskss.exe','');
QuarantineFile('C:\DOCUME~1\75A2~1\LOCALS~1\Temp\ctfmon.exe','');
DeleteService('brredolws');
QuarantineFile('c:\windows\system32\smsc.exe','');
QuarantineFile('c:\windows\system32\msprxysvc32.exe','');
DeleteFile('c:\windows\system32\msprxysvc32.exe');
DeleteFile('c:\windows\system32\smsc.exe');
DeleteFile('C:\DOCUME~1\75A2~1\LOCALS~1\Temp\ctfmon.exe');
DeleteFile('C:\Documents and Settings\Венера\Application Data\Iqskss.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1413\syitm.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Internet Proxy Service');
DeleteFile('C:\WINDOWS\system32\smsc.exe');
DeleteFile('C:\WINDOWS\system32\66.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('C:\WINDOWS\system32\msprxysvc32.exe');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
[/code]
пишлите карантин согласно приложения 3 правил
повторите логи
13.09.2011, 00:03
in7ane

Вложений: 3

Скрипт выполнен, карантин выслан. Логи:
13.09.2011, 20:16
polword

1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis
[CODE]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=userinit.exe
[/CODE]
2.[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true);
QuarantineFile('C:\WINDOWS\system32\73.exe','');
QuarantineFile('C:\WINDOWS\system32\65.exe','');
QuarantineFile('C:\WINDOWS\system32\61.exe','');
QuarantineFile('C:\WINDOWS\system32\60.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
QuarantineFile('C:\WINDOWS\system32\11.exe','');
QuarantineFile('C:\WINDOWS\system32\06.exe','');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\11.exe');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\60.exe');
DeleteFile('C:\WINDOWS\system32\61.exe');
DeleteFile('C:\WINDOWS\system32\65.exe');
DeleteFile('C:\WINDOWS\system32\73.exe');
DeleteFile('C:\WINDOWS\system32\88.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman ');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(11);
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
- Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL]
16.09.2011, 01:48
in7ane

Вложений: 2

[QUOTE=polword;825781]1.[URL="http://virusinfo.info/showthread.php?t=4491"]Профиксите[/URL] в HijackThis[/QUOTE]
Пофиксено.

[QUOTE=polword;825781]2. Выполните скрипт в AVZ[/QUOTE]
Выполнен.

[QUOTE=polword;825781]После перезагрузки:
- выполните такой скрипт
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila.html"]правилам[/URL] п.2 и 3 раздела Диагностика.([COLOR="Blue"]virusinfo_syscheck.zip;hijackthis.log[/COLOR])
[/QUOTE]Сделано. Карантин прислал, свежие логи прикрепил

[QUOTE=polword;825781] - Сделайте лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"][COLOR="Blue"][B]MBAM[/B][/COLOR][/URL][/QUOTE]Тут проблема: не открывается сайт с дистрибутивом (как и многие антивирсуные сайты), а в хелпе по MBAM нет альтернативного линка, как, например, в хелпе к HijackThis.
16.09.2011, 16:27
in7ane

Вариантов сгрузить MBAM с другого компьютера сейчас нет, поэтому жду дальнейших указаний.
16.09.2011, 16:34
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]
16.09.2011, 18:24
in7ane

Вложений: 1

Лог ComboFix
16.09.2011, 18:45
in7ane

Проблема осталась: в памяти после перезагрузки висят aadrive32.exe и 1-3 ***.tmp (смотрю по Process Explorer из sysinternals). После прошлой перезагрузки исходящий канал вроде не забивается и не вылетает, но я не уверен что после следующей будет также... Ощущение, что чем больше заразу пытаешься убить, тем быстрее она множится...
Сайты антивирусов также недоступны
16.09.2011, 22:32
миднайт

Повторите три лога по правилам.
17.09.2011, 11:07
thyrex

А также

Установите все [url="http://www.update.microsoft.com/microsoftupdate/v6/default.aspx?ln=ru"]новые обновления[/url] для Windows - без установки обновлений с сетевым червем бороться бесполезно

Сделайте повторный лог ComboFix
18.09.2011, 11:07
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]28[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\венера\\application data\\iqskss.exe - [B]Packed.Win32.TDSS.c[/B] ( DrWEB: Trojan.Inject.57546, BitDefender: Trojan.Generic.KDV.347783, NOD32: Win32/Dorkbot.A worm, AVAST4: Win32:Trojan-gen )[*] c:\\docume~1\\75a2~1\\locals~1\\temp\\ctfmon.exe - [B]Trojan.Win32.Yakes.ckt[/B] ( DrWEB: BackDoor.BlackEnergy.1, BitDefender: Trojan.Generic.KDV.592319, AVAST4: Win32:Downloader-KDI [Trj] )[*] c:\\recycler\\r-1-5-21-1482476501-1644491937-682003330-1013\\ecleaner.exe - [B]Trojan-Downloader.Win32.Agent.tblt[/B] ( DrWEB: Trojan.Inject1.99, BitDefender: Gen:Variant.Graftor.842, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1413\\syitm.exe - [B]Trojan.Win32.VBKrypt.gipo[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.6770090, NOD32: Win32/Lethic.AA trojan, AVAST4: Win32:Dropper-IFX [Drp] )[*] c:\\recycler\\s-1-5-21-0243556031-888888379-781863308-1830\\zaberg.exe - [B]Trojan.Win32.VBKrypt.giqi[/B] ( DrWEB: BackDoor.IRC.Bot.166, BitDefender: Trojan.Generic.6770090, AVAST4: Win32:Dropper-IFX [Drp] )[*] c:\\windows\\system32\\msprxysvc32.exe - [B]Backdoor.Win32.IRCBot.vez[/B] ( DrWEB: BackDoor.IRC.Rxbot.64, BitDefender: DeepScan:Generic.Sdbot.2CFF165A, AVAST4: Win32:Rbot-GQO [Trj] )[*] c:\\windows\\system32\\smsc.exe - [B]Net-Worm.Win32.Kolab.anen[/B] ( DrWEB: BackDoor.IRC.Sdbot.15765, BitDefender: Trojan.Generic.6522059, AVAST4: Win32:AutoRun-CUD [Trj] )[*] c:\\windows\\system32\\06.exe - [B]Packed.Win32.TDSS.c[/B] ( DrWEB: Trojan.Inject.56069, BitDefender: Trojan.Generic.7081577, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\11.exe - [B]Packed.Win32.TDSS.c[/B] ( DrWEB: Trojan.Inject.56069, BitDefender: Trojan.Generic.7081577, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\42.exe - [B]Trojan.Win32.Inject.bjzn[/B] ( DrWEB: BackDoor.IRC.Bot.1406, BitDefender: Trojan.Generic.6686451, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\60.exe - [B]Packed.Win32.TDSS.c[/B] ( DrWEB: Trojan.Inject.56069, BitDefender: Trojan.Generic.7081577, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\61.exe - [B]Packed.Win32.TDSS.c[/B] ( DrWEB: Trojan.Inject.56069, BitDefender: Trojan.Generic.7081577, NOD32: Win32/AutoRun.AFQ worm, AVAST4: Win32:Dropper-gen [Drp] )[*] c:\\windows\\system32\\65.exe - [B]Trojan.Win32.Jorik.Lethic.aj[/B] ( DrWEB: BackDoor.Ddoser.131, BitDefender: Trojan.Generic.6731270, AVAST4: Win32:Trojan-gen )[*] c:\\windows\\system32\\73.exe - [B]Packed.Win32.TDSS.c[/B] ( DrWEB: Trojan.Inject.56069, BitDefender: Trojan.Generic.7081577, NOD32: Win32/AutoRun.KS worm, AVAST4: Win32:Dropper-gen [Drp] )[/LIST][/LIST]