Printable View
Вылетает инет. Все начинает с того как включаю интерент и захожу в оперу, сразу же аваст блокирут какой то вирус, потом инет может не отключатся если не зайти в онлайн игру или же просто открыть приложение вконтакте( слушать музыку, смотреть видео)... после того как инет отключается, выходит перезапуск подключения, но без ошибки.. звонил в тех поддержку своего инетпровайдера, сказали что интернет отключает сам юзер, т.е я
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[COLOR="Black"][URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите в hijackthis[/URL][/COLOR] -
[CODE]O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)[/CODE]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('c:\windows\cfdrive32.exe','');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
Пришлите файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ по ссылке [COLOR="Red"][B][U]Прислать запрошенный карантин[/U][/B][/COLOR] над первым сообщением этой темы.
- Повторите логи
- Скачайте [URL="http://images.malwareremoval.com/random/RSIT.exe"]RSIT[/URL]. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке ([B]RSIT[/B]) в корне системного диска.
Не знаю правильно ли логи выложил, скажите если что не так
Логи АВЗ как-будто старые - [QUOTE]Сканирование запущено в 09.09.2010 15:21:02[/QUOTE] Нужны новые
Эм.. а как достать новые логи?.. попробовал прогнать ещё раз скрипт, логи не появились
Нужно заново выполнить правила, то есть провести сканирование, перед этим удалив старые логи.
1. В HiLack`e нет строки O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2. Выполнил скрипт, в папке авз LOG ничего не появилось
что делать
Какой Вы скрипт выполнили? Нужно выполнять пункты правил, помните как Вы делали, чтобы появились первые логи, которые висят у Вас в первом сообщении, вот надо точно так же.
Вот новые
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
[URL="http://virusinfo.info/showthread.php?t=4905"]- Системное восстановление[/URL]
[URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в АВЗ[/URL] -
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\83.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.
- Сделайте лог [URL="http://virusinfo.info/showthread.php?t=53070"]МВАМ[/URL]
Вот
[URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]Удалите в МВАМ[/URL] всё [B]кроме[/B] -
[CODE]Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.[/CODE]
- Перезагрузитесь
- Проведи повторную проверку МВАМ
- Новый лог приложите сюда
вот
Удалите в МВАМ -
[CODE]Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.AutoRun) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Администратор\Local Settings\Temp\019244.exe (Heuristics.Shuriken) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\1070.exe (Heuristics.Shuriken) -> No action taken.[/CODE]
- Повторите лог МВАМ
вот
По логу МВАМ, всё чисто, а по Вашим наблюдениям? В частности интересует наличие процессов msvmiode.exe и cfdrive32.exe
Как можно проверить эти процессы?
Через диспетчер задач(собственно Ctrl+Alt+Del).
Этих процессов нет
В логах плохого не увидел, проблема решена?
Вчера вечером инет не отключался, пронаблюдаю как будет работать сегодня.. спасибо
Рекомедуется обновить Internet Explorer v7.00, даже если Вы им не пользуетесь.
1.А можно сайт откуда можно скачать Internet Explorer v7.00
2.Нужно ли менять пароль от интернета
1. [url]http://www.microsoft.com/rus/windows/internet-explorer/worldwide-sites.aspx[/url]
2. Лишним не будет
Видимо опять началось.. за час уже 2 раз отключился интернет
Сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]ComboFix [/URL]
Вот
Скопируйте текст ниже в блокнот и сохраните как файл с названием [B]CFScript.txt[/B] на рабочий стол.
[CODE]KillAll::
File::
c:\documents and settings\Администратор\Application Data\ltzqai.exe
c:\windows\cfdrive32.exe
c:\windows\system32\00.exe
c:\windows\system32\07.exe
c:\windows\system32\16.exe
c:\windows\system32\38.exe
c:\windows\system32\47.exe
c:\windows\system32\51.exe
c:\windows\system32\52.exe
c:\windows\system32\54.exe
c:\windows\system32\57.exe
c:\windows\system32\60.exe
c:\windows\system32\61.exe
c:\windows\system32\63.exe
c:\windows\system32\74.exe
c:\windows\system32\80.exe
c:\windows\system32\msvmiode.exe
c:\windows\msdownld.tmp
Driver::
NetSvc::
Folder::
Registry::
FileLook::
DirLook::[/CODE]
После сохранения переместите [B]CFScript.txt[/B] на пиктограмму [B]ComboFix.exe[/B].
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет [B]ComboFix.txt[/B], прикрепите его к сообщению.
Вроде этот
А вот этот
Что с проблемой?
Пока проблема не возникала
- [URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]29[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\ltzqai.exe - [B]Trojan.Win32.Jorik.SdBot.bi[/B] ( DrWEB: Trojan.DownLoader6.5373, BitDefender: Trojan.Bredolab.DA, NOD32: Win32/Bflient.K worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-0243936033-3052116371-381863308-1811\\vsbntlo.exe - [B]Trojan.Win32.Scar.ctqa[/B] ( DrWEB: Trojan.DownLoader1.20744, BitDefender: Worm.Generic.319817, NOD32: Win32/Agent.HXW trojan, AVAST4: Win32:Malware-gen )[*] c:\\windows\\cfdrive32.exe - [B]Trojan.Win32.Jorik.SdBot.bh[/B] ( DrWEB: Trojan.AVKill.2401, BitDefender: Backdoor.IRCBot.ACTR, NOD32: IRC/SdBot trojan, AVAST4: Win32:Inject-AII [Trj] )[*] c:\\windows\\system32\\msvmiode.exe - [B]Trojan.Win32.Jorik.Tedroo.d[/B] ( DrWEB: Trojan.DownLoader1.20714, BitDefender: Trojan.Generic.KDV.35041, NOD32: Win32/SpamTool.Tedroo.AN trojan, AVAST4: Win32:Inject-AII [Trj] )[*] c:\\windows\\system32\\16.exe - [B]P2P-Worm.Win32.Palevo.avhu[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Flooder.YAX, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\24.exe - [B]P2P-Worm.Win32.Palevo.avhu[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Flooder.YAX, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\42.exe - [B]P2P-Worm.Win32.Palevo.avhu[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Flooder.YAX, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\64.exe - [B]P2P-Worm.Win32.Palevo.avhu[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Flooder.YAX, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\system32\\86.exe - [B]P2P-Worm.Win32.Palevo.avhu[/B] ( DrWEB: Win32.HLLW.Autoruner.26149, BitDefender: Trojan.Flooder.YAX, NOD32: Win32/Peerfrag.FD worm, AVAST4: Win32:Malware-gen )[/LIST][/LIST]