Инет вылетает

Printable View

Показывать 40 сообщений этой темы на одной странице

09.09.2010, 18:05
Gizzy

Инет вылетает

Вылетает инет. Все начинает с того как включаю интерент и захожу в оперу, сразу же аваст блокирут какой то вирус, потом инет может не отключатся если не зайти в онлайн игру или же просто открыть приложение вконтакте( слушать музыку, смотреть видео)... после того как инет отключается, выходит перезапуск подключения, но без ошибки.. звонил в тех поддержку своего инетпровайдера, сказали что интернет отключает сам юзер, т.е я
09.09.2010, 18:18
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -

[CODE]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)[/CODE]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('c:\windows\cfdrive32.exe','');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

После перезагрузки:
- выполните такой скрипт

[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]

Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.

- Повторите логи

- Скачайте [URL="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.
09.09.2010, 19:27
Gizzy

Не знаю правильно ли логи выложил, скажите если что не так
09.09.2010, 19:37
olejah

Логи АВЗ как-будто старые - [QUOTE]Сканирование запущено в 09.09.2010 15:21:02[/QUOTE] Нужны новые
09.09.2010, 19:51
Gizzy

Эм.. а как достать новые логи?.. попробовал прогнать ещё раз скрипт, логи не появились
09.09.2010, 20:06
olejah

Нужно заново выполнить правила, то есть провести сканирование, перед этим удалив старые логи.
09.09.2010, 20:33
Gizzy

1. В HiLack`e нет строки O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2. Выполнил скрипт, в папке авз LOG ничего не появилось

что делать
09.09.2010, 20:48
olejah

Какой Вы скрипт выполнили? Нужно выполнять пункты правил, помните как Вы делали, чтобы появились первые логи, которые висят у Вас в первом сообщении, вот надо точно так же.
09.09.2010, 21:27
Gizzy

Вот новые
09.09.2010, 21:34
olejah

Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]

[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -

[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\83.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]

После выполнения скрипта компьютер перезагрузится.

- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
09.09.2010, 23:07
Gizzy

Вот
09.09.2010, 23:11
olejah

[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] всё [B]кроме[/B] -

[CODE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.[/CODE]

- Перезагрузитесь

- Проведи повторную проверку МВАМ

- Новый лог приложите сюда
09.09.2010, 23:48
Gizzy

вот
09.09.2010, 23:50
olejah

Удалите в МВАМ -

[CODE]Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.AutoRun) -> No action taken.

Зараженные файлы:
C:\Documents and Settings\Администратор\Local Settings\Temp\019244.exe (Heuristics.Shuriken) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\1070.exe (Heuristics.Shuriken) -> No action taken.[/CODE]

- Повторите лог МВАМ
10.09.2010, 00:25
Gizzy

вот
10.09.2010, 00:32
olejah

По логу МВАМ, всё чисто, а по Вашим наблюдениям? В частности интересует наличие процессов msvmiode.exe и cfdrive32.exe
10.09.2010, 00:35
Gizzy

Как можно проверить эти процессы?
10.09.2010, 00:38
olejah

Через диспетчер задач(собственно Ctrl+Alt+Del).
10.09.2010, 00:41
Gizzy

Этих процессов нет
10.09.2010, 07:19
olejah

В логах плохого не увидел, проблема решена?

Показывать 40 сообщений этой темы на одной странице