-
Junior Member
- Вес репутации
- 55
Проблемы с интернетом
В последнее время появились непонятные проблемы с интернетом - разрывы, низкая скорость. Вроде как игнорировал, интернет не особо нужен был. Потом появилась такая проблема - браузер (Opera) стал перенаправлять все открываемые ссылки на licosearch.com, пропал доступ к сайтам антивирусов и многим другим сайтам. В это же время стали появляться непонятные файлы в виде ххх.exe, где xxx - трехзначное число, а также папки Local Settings и Temp заполонили вирусы. Скачал DrWeb CureIt - он нашел огромное количество вирусов "Win32.Virut.56" и "Win32.Siggen.8" - практически в каждом EXE-шнике и вылечил их. Лечил VirutKiller'ом, а после этого DrWeb CureIt'ом. Вроде вируса Virut.56 больше не видно, но проблем меньше не стало. Avast обнаруживает постоянный запуск непонятных файлов, licosearch иногда снова появляется, скорость интернета нулевая.
Помогите избавиться от этой порчи, а то работать невозможно. DrWeb CureIt находит вирусы и лечит их, однако они продолжают появляться снова. Avast постоянно блокирует какие-то процессы. Например, блокирует действия процесса Opera.exe к всяким EXE-шникам, говоря, что это "Win32.Ramnit.G", однако проблемы остаются. Opera вообще пооткрывала 1000 соединений с localhost на рандомных портах.
Никогда не было проблем с вирусами, так как антивирь, да и автозапуск флешек, дисков отключен, открываю через Total Commander. А тут заполонили просто, черти. Причем каждый день новые Беда
Заранее спасибо.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Пофиксите в HijackThis:
Код:
R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.smaxi.net
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.smaxi.net
O4 - HKLM\..\Run: [Regedit32] C:\WINDOWS\system32\regedit.exe
O4 - HKLM\..\Run: [smwcore] C:\WINDOWS\TEMP\VRT6.tmp
O4 - HKLM\..\Policies\Explorer\Run: [8wck] C:\WINDOWS\TEMP\q3zh.exe
Выполните скрипт в AVZ:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\TEMP\q3zh.exe','');
QuarantineFile('C:\WINDOWS\TEMP\VRT6.tmp','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1640184819-8981915220-597907881-6564\djwi2kcew.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlkokjdl.exe','');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlkokjdl.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1640184819-8981915220-597907881-6564\djwi2kcew.exe');
DeleteFile('C:\WINDOWS\TEMP\VRT6.tmp');
DeleteFile('C:\WINDOWS\TEMP\q3zh.exe');
BC_ImportDeletedList;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=100851).
Обновите базы AVZ и сделайте новые логи.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Выполнил, однако количество вирусов в папках Windows и Temp не уменьшилось. Выполнил снова.
P.S. Только что увидел про обновление баз. Обновить через приложение не получается, качаю с файлообменника (ссылку взял с другого топика, дал polword). Обновлю - сделаю снова.
Последний раз редактировалось DoKZ; 15.04.2011 в 16:43.
-
Junior Member
- Вес репутации
- 55
-
Карантина вашего нет.
Добавлено через 5 минут
Внимание !!!
База поcледний раз обновлялась 25.08.2010 необходимо обновить базы при помощи автоматического обновления
Не обновили.
>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных
Видимо, опять Virut, где-то недолечили.
В общем, сначала это: http://www.freedrweb.com/livecd/,
потом заново скачиваем AVZ и Hijack, базы обновляем и делаем логи.
Последний раз редактировалось Bratez; 15.04.2011 в 17:40.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Всё, залил.
Добавлено через 6 минут
"Ошибка в ходе автоматического обновления - Ошибка загрузки файла с описанием обновления avzupd.zip с *адрес* [21, 00002EFD]"
Скорее всего это связано с тем, что доступ к сайтам, содержащим названия антивирусов, их производителей, а также слово virus отсутствует.
Файл действительно заражен Siggen.8 и Virut.56, однако после лечения и повторной проверки история повторяется.
Можно ли использовать Kaspersky Rescue Disk? Вроде как аналог.
Последний раз редактировалось DoKZ; 15.04.2011 в 17:48.
Причина: Добавлено
-
Сообщение от
DoKZ
Всё, залил.
Да уж... Троян, зараженный Virut'ом - такое нечасто увидишь...
Добавлено через 46 секунд
Сообщение от
DoKZ
Можно ли использовать Kaspersky Rescue Disk?
Можно.
Последний раз редактировалось Bratez; 15.04.2011 в 17:50.
Причина: Добавлено
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 55
Через Kaspersky Rescue Disk проверил весь компьютер. Он обнаружил какой-то троян-даунлоадер во всех HTML-файлах компьютера. Ну да ладно, удалил все, там никаких важных нету. Потом во многих системных файлах обнаружен и вылечен Win32.Nimnul, а также в некоторых Win32.Virut, всё вылечил.
Перезапустил компьютер, однако в автозапуске и временных папках снова вирусы. Доступ в интернет к сайтам антивирей есть, но скорость никакая и процессы странные.
Сделал логи (AVZ обновил).
P.S. Вам лучше знать, но по-моему всё, что относится к Atheros - вирусы. Ибо я использую управление wifi через Windows и всего этого не должно быть.
P.P.S. Почти все непонятные приложения, запущенные на компе в папках Local Settings (сама папка, а не подпапки) и Temp, которые никак не используются. Можно ли каким-нибудь путём запретить создание\исполненение файлов в определенных папках?
Последний раз редактировалось DoKZ; 17.04.2011 в 12:17.
-
Выполните скрипт в AVZ
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\Temp\76azuzktt.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\957.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\834.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\665.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\630.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\010.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\389.exe','');
QuarantineFile('C:\WINDOWS\system32\userinit.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0873055946-6491573067-980300812-8833\djwi2kcew.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlr60top.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tupfgbrs.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tpfq1ghm.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\rhhdd66u8.exe','');
QuarantineFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\703s1j7.exe','');
QuarantineFile('C:\DOCUME~1\DoKZ\LOCALS~1\Temp\qtfcyyp.exe','');
DeleteFile('C:\DOCUME~1\DoKZ\LOCALS~1\Temp\qtfcyyp.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\703s1j7.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\rhhdd66u8.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','60xu9');
DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tpfq1ghm.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\tupfgbrs.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Главное меню\Программы\Автозагрузка\vlr60top.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0873055946-6491573067-980300812-8833\djwi2kcew.exe');
DeleteFile('explorer.exe,C:\RECYCLER\S-1-5-21-0873055946-6491573067-980300812-8833\djwi2kcew.exe');
DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\389.exe');
DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\485.exe');
DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\684.exe');
DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\968.exe');
DeleteFile('C:\Documents and Settings\DoKZ\DoctorWeb\Quarantine\q71miiduu.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\010.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\630.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\665.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\834.exe');
DeleteFile('C:\Documents and Settings\DoKZ\Local Settings\Temp\957.exe');
DeleteFile('C:\WINDOWS\Temp\76azuzktt.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы
Скачайте AVZ заново
Сделайте новые логи
Сделайте лог полного сканирования МВАМ
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Карантин выслал. Сейчас буду делать проверку компьютера.
-
Junior Member
- Вес репутации
- 55
-
Удалите в МВАМ только указанные строки
Код:
Заражённые файлы:
c:\documents and settings\DoKZ\local settings\Temp\xvzfkpaji.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\744.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\759.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\162.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\476.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\495.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\517.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\544.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\local settings\Temp\570.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\главное меню\программы\автозагрузка\03q1h70.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\главное меню\программы\автозагрузка\a0bxx66o81.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\главное меню\программы\автозагрузка\euk0lhh66y.exe (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_2\2011-04-17\avz00001.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\bcqr00017.dat (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00002.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00003.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00004.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00005.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00006.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00007.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00009.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\avz00012.dta (Trojan.Dropper) -> No action taken.
c:\documents and settings\DoKZ\рабочий стол\avz4\avz4\quarantine_3\2011-04-17\bcqr00018.dat (Trojan.Dropper) -> No action taken.
c:\WINDOWS\Temp\c9x7oo7dm.exe (Rootkit.MBR) -> No action taken.
c:\WINDOWS\Temp\mvthq88r.exe (Rootkit.MBR) -> No action taken.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
-
Junior Member
- Вес репутации
- 55
Стало лучше, но всё же соединение периодически дропается и скорость низкая.
Подозрительных процессов вроде нету. Сделать Avz?
-
Установите все новые обновления для Windows
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 55
Установил все доступные. Установил avast! 4 дня без перебоев пока работаю, правда там пробный период кончается
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 49
- В ходе лечения обнаружены вредоносные программы:
- c:\\documents and settings\\dokz\\doctorweb\\quarantine\\389.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\dokz\\local settings\\temp\\010.exe - Trojan.Win32.Inject.bcmt ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\dokz\\local settings\\temp\\630.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\dokz\\local settings\\temp\\665.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\dokz\\local settings\\temp\\834.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\dokz\\local settings\\temp\\957.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\rhhdd66u8.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Gen:Variant.Graftor.13584, AVAST4: Win32:Malware-gen )
- c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\tpfq1ghm.exe - Trojan.Win32.Menti.ggad ( DrWEB: Trojan.MulDrop2.17500, BitDefender: Gen:Variant.Strictor.426, AVAST4: Win32:Inject-AFM [Trj] )
- c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\vlkokjdl.exe - Virus.Win32.Virut.ce ( DrWEB: Win32.Virut.56, BitDefender: Backdoor.Agent.ABDZ, NOD32: Win32/Virut.NBP virus, AVAST4: Win32:Sality )
- c:\\documents and settings\\dokz\\главное меню\\программы\\автозагрузка\\vlr60top.exe - Trojan.Win32.Menti.ggaf ( DrWEB: Trojan.MulDrop2.17500, BitDefender: Gen:Variant.Strictor.426, AVAST4: Win32:Inject-AFM [Trj] )
- c:\\docume~1\\dokz\\locals~1\\temp\\qtfcyyp.exe - Backdoor.Win32.VB.nju ( DrWEB: Trojan.MulDrop1.54377, BitDefender: Backdoor.Generic.706684, AVAST4: Win32:VB-QQH [Trj] )
- c:\\recycler\\s-1-5-21-0873055946-6491573067-980300812-8833\\djwi2kcew.exe - Trojan.Win32.Inject.bcmu ( DrWEB: Win32.HLLW.Lime.18, BitDefender: Trojan.Generic.5841305, NOD32: Win32/Peerfrag.JC worm, AVAST4: Win32:Malware-gen )
- c:\\windows\\temp\\vrt6.tmp - Trojan.Win32.Scar.dujw ( DrWEB: Trojan.DownLoader2.28320, BitDefender: Trojan.Generic.6657205, AVAST4: Win32:Malware-gen )
- c:\\windows\\temp\\76azuzktt.exe - Trojan.Win32.Refroso.diht ( DrWEB: Trojan.MulDrop2.17500, BitDefender: Gen:Variant.Kazy.2233, NOD32: Win32/Peerfrag.JC worm, AVAST4: Win32:Inject-AFM [Trj] )
-