Проблемы с интернетом

**DoKZ** · 15.04.2011, 12:50

В последнее время появились непонятные проблемы с интернетом - разрывы, низкая скорость. Вроде как игнорировал, интернет не особо нужен был. Потом появилась такая проблема - браузер (Opera) стал перенаправлять все открываемые ссылки на licosearch.com, пропал доступ к сайтам антивирусов и многим другим сайтам. В это же время стали появляться непонятные файлы в виде ххх.exe, где xxx - трехзначное число, а также папки Local Settings и Temp заполонили вирусы. Скачал DrWeb CureIt - он нашел огромное количество вирусов "Win32.Virut.56" и "Win32.Siggen.8" - практически в каждом EXE-шнике и вылечил их. Лечил VirutKiller'ом, а после этого DrWeb CureIt'ом. Вроде вируса Virut.56 больше не видно, но проблем меньше не стало. Avast обнаруживает постоянный запуск непонятных файлов, licosearch иногда снова появляется, скорость интернета нулевая.

Помогите избавиться от этой порчи, а то работать невозможно. DrWeb CureIt находит вирусы и лечит их, однако они продолжают появляться снова. Avast постоянно блокирует какие-то процессы. Например, блокирует действия процесса Opera.exe к всяким EXE-шникам, говоря, что это "Win32.Ramnit.G", однако проблемы остаются. Opera вообще пооткрывала 1000 соединений с localhost на рандомных портах.

Никогда не было проблем с вирусами, так как антивирь, да и автозапуск флешек, дисков отключен, открываю через Total Commander. А тут заполонили просто, черти. Причем каждый день новые

Беда

Заранее спасибо.

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Bratez** · 15.04.2011, 13:35

Пофиксите в HijackThis:

Код:

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [smwcore] C:\WINDOWS\TEMP\VRT6.tmp
O4 - HKLM\..\Policies\Explorer\Run: [8wck] C:\WINDOWS\TEMP\q3zh.exe

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\TEMP\q3zh.exe','');
 QuarantineFile('C:\WINDOWS\TEMP\VRT6.tmp','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-1640184819-8981915220-597907881-6564\djwi2kcew.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlkokjdl.exe','');
 QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
 DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlkokjdl.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-1640184819-8981915220-597907881-6564\djwi2kcew.exe');
 DeleteFile('C:\WINDOWS\TEMP\VRT6.tmp');
 DeleteFile('C:\WINDOWS\TEMP\q3zh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=100851).

Обновите базы AVZ и сделайте новые логи.

**DoKZ** · 15.04.2011, 16:36

Выполнил, однако количество вирусов в папках Windows и Temp не уменьшилось. Выполнил снова.

P.S. Только что увидел про обновление баз. Обновить через приложение не получается, качаю с файлообменника (ссылку взял с другого топика, дал polword). Обновлю - сделаю снова.

**DoKZ** · 15.04.2011, 17:18

Базы обновил, вот логи

**Bratez** · 15.04.2011, 17:40

Карантина вашего нет.

Добавлено через 5 минут

Внимание !!! База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления

Не обновили.

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Видимо, опять Virut, где-то недолечили.

В общем, сначала это: http://www.freedrweb.com/livecd/,
потом заново скачиваем AVZ и Hijack, базы обновляем и делаем логи.

**DoKZ** · 15.04.2011, 17:48

Всё, залил.

Добавлено через 6 минут

"Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с *адрес* [21, 00002EFD]"

Скорее всего это связано с тем, что доступ к сайтам, содержащим названия антивирусов, их производителей, а также слово virus отсутствует.

Файл действительно заражен Siggen.8 и Virut.56, однако после лечения и повторной проверки история повторяется.

Можно ли использовать Kaspersky Rescue Disk? Вроде как аналог.

**Bratez** · 15.04.2011, 17:50

Сообщение от DoKZ

Всё, залил.

Да уж... Троян, зараженный Virut'ом - такое нечасто увидишь...

Добавлено через 46 секунд

Сообщение от DoKZ

Можно ли использовать Kaspersky Rescue Disk?

Можно.

**DoKZ** · 17.04.2011, 12:07

Через Kaspersky Rescue Disk проверил весь компьютер. Он обнаружил какой-то троян-даунлоадер во всех HTML-файлах компьютера. Ну да ладно, удалил все, там никаких важных нету. Потом во многих системных файлах обнаружен и вылечен Win32.Nimnul, а также в некоторых Win32.Virut, всё вылечил.
Перезапустил компьютер, однако в автозапуске и временных папках снова вирусы. Доступ в интернет к сайтам антивирей есть, но скорость никакая и процессы странные.

Сделал логи (AVZ обновил).
P.S. Вам лучше знать, но по-моему всё, что относится к Atheros - вирусы. Ибо я использую управление wifi через Windows и всего этого не должно быть.
P.P.S. Почти все непонятные приложения, запущенные на компе в папках Local Settings (сама папка, а не подпапки) и Temp, которые никак не используются. Можно ли каким-нибудь путём запретить создание\исполненение файлов в определенных папках?

**thyrex** · 17.04.2011, 12:25

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\76azuzktt.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\957.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\834.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\665.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\630.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\010.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\389.exe','');
 QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
 QuarantineFile('C:\RECYCLER\S-1-5-21-0873055946-6491573067-980300812-8833\djwi2kcew.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlr60top.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tupfgbrs.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tpfq1ghm.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\rhhdd66u8.exe','');
 QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\703s1j7.exe','');
 QuarantineFile('C:\DOCUME~1\DoKZ\LOCALS~1\Temp\qtfcyyp.exe','');
 DeleteFile('C:\DOCUME~1\DoKZ\LOCALS~1\Temp\qtfcyyp.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\703s1j7.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\rhhdd66u8.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','60xu9');
 DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tpfq1ghm.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tupfgbrs.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlr60top.exe');
 DeleteFile('C:\RECYCLER\S-1-5-21-0873055946-6491573067-980300812-8833\djwi2kcew.exe');
 DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-0873055946-6491573067-980300812-8833\djwi2kcew.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\389.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\485.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\684.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\968.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\q71miiduu.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\010.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\630.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\665.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\834.exe');
 DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\957.exe');
 DeleteFile('C:\WINDOWS\Temp\76azuzktt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Скачайте AVZ заново

Сделайте новые логи

Сделайте лог полного сканирования МВАМ

**DoKZ** · 17.04.2011, 14:23

Карантин выслал. Сейчас буду делать проверку компьютера.

**DoKZ** · 18.04.2011, 08:04

Всё сделал.

**thyrex** · 18.04.2011, 12:31

Удалите в МВАМ только указанные строки

Код:

Заражённые файлы:
c:\documents and settings\DoKZ\local settings\Temp\xvzfkpaji.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\744.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\759.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\162.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\476.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\495.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\517.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\544.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\570.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\главное меню\программы\автозагрузка\03q1h70.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\главное меню\программы\автозагрузка\a0bxx66o81.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\главное меню\программы\автозагрузка\euk0lhh66y.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_2\2011-04-17\avz00001.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\bcqr00017.dat (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00002.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00003.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00004.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00005.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00006.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00007.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00009.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00012.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\bcqr00018.dat (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\c9x7oo7dm.exe (Rootkit.MBR) -> No action taken.
c:\WINDOWS\Temp\mvthq88r.exe (Rootkit.MBR) -> No action taken.

**DoKZ** · 18.04.2011, 13:02

Воть.

**DoKZ** · 18.04.2011, 20:02

Стало лучше, но всё же соединение периодически дропается и скорость низкая.
Подозрительных процессов вроде нету. Сделать Avz?

**thyrex** · 18.04.2011, 23:16

Установите все новые обновления для Windows

**DoKZ** · 22.04.2011, 22:08

Установил все доступные. Установил avast! 4 дня без перебоев пока работаю, правда там пробный период кончается

**CyberHelper** · 23.04.2011, 22:08

Статистика проведенного лечения:

Получено карантинов: 2
Обработано файлов: 49
В ходе лечения обнаружены вредоносные программы:
1. c:\\documents and settings\\dokz\\doctorweb\\quarantine\\389.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
2. c:\\documents and settings\\dokz\\local settings\\temp\\010.exe - Trojan.Win32.Inject.bcmt ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
3. c:\\documents and settings\\dokz\\local settings\\temp\\630.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
4. c:\\documents and settings\\dokz\\local settings\\temp\\665.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
5. c:\\documents and settings\\dokz\\local settings\\temp\\834.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
6. c:\\documents and settings\\dokz\\local settings\\temp\\957.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
7. c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\rhhdd66u8.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
8. c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\tpfq1ghm.exe - Trojan.Win32.Menti.ggad ( DrWEB: Trojan.MulDrop2.17500, BitDefender: Gen:Variant.Strictor.426, AVAST4: Win32:Inject-AFM [Trj] )
9. c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\vlkokjdl.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Backdoor.Agent.ABDZ, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Sality )
10. c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\vlr60top.exe - Trojan.Win32.Menti.ggaf ( DrWEB: Trojan.MulDrop2.17500, BitDefender: Gen:Variant.Strictor.426, AVAST4: Win32:Inject-AFM [Trj] )
11. c:\\docume~1\\dokz\\locals~1\\temp\\qtfcyyp.exe - Backdoor.Win32.VB.nju ( DrWEB: Trojan.MulDrop1.54377, BitDefender: Backdoor.Generic.706684, AVAST4: Win32:VB-QQH [Trj] )
12. c:\\recycler\\s-1-5-21-0873055946-6491573067-980300812-8833\\djwi2kcew.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.5841305, NOD32: Win32/Peerfrag.JC worm, AVAST4: Win32:Malware-gen )
13. c:\\windows\\temp\\vrt6.tmp - Trojan.Win32.Scar.dujw ( DrWEB: Trojan.DownLoader2.28320, BitDefender: Trojan.Generic.6657205, AVAST4: Win32:Malware-gen )
14. c:\\windows\\temp\\76azuzktt.exe - Trojan.Win32.Refroso.diht ( DrWEB: Trojan.MulDrop2.17500, BitDefender: Gen:Variant.Kazy.2233, NOD32: Win32/Peerfrag.JC worm, AVAST4: Win32:Inject-AFM [Trj] )