Вылетел интернет

**alsoclean** · 25.10.2007, 13:41

Добрый день. Опять Аваст червя пропустил. В итоге интернета нет как нет. Кроме того CPU загружен на 50-70% это без ничего. Сам Аваст похоже поврежден как и файрволл от Windows

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**PavelA** · 25.10.2007, 13:56

Cure-It проверялись?

**alsoclean** · 25.10.2007, 14:00

Нет. Его на компе нет. А скачать не получилось ИЕ не работает. Пишу с соседнего

**PavelA** · 25.10.2007, 14:02

На соседнем скачай, запиши на СД/флешку и проверься.
Есть подозрение на файловый вирус.

**alsoclean** · 25.10.2007, 14:19

Рискну- он не проверен. По окончании как я понял - опять логи?

**PavelA** · 25.10.2007, 14:23

Да. И еще лог Cure-It

**alsoclean** · 25.10.2007, 17:08

Логи + лог Cure-It

**PavelA** · 25.10.2007, 18:16

Куреитом весь диск проверяли? Или только экспресс-проверкой?
Кстати, на компьютере был ПИНЧ. Надо менять пароли.

Наборчик зверья шикарный.

"восст системы" почему не отключено? Там тоже кое-чего нашлось.

Выполнить скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\avpo.exe','');
 BC_DeleteFile('C:\WINDOWS\system32\avpo.exe');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.

Загрузить карантин через ссылку вверху темы.

**alsoclean** · 25.10.2007, 18:20

Проверил куреитом все! Восстановление системы перед АВЗ отключил. А вот что такое ПИНЧ мне пока неизвестно....
Карантин пошел.........

**PavelA** · 25.10.2007, 18:50

ПИНЧ - ворователь паролей от всего (почта,аська,вебмани, и пр.)

В логе AVZ написано, что "Восст" включено.

Добавлено через 4 минуты

ntde1ect.com - вот такой файл надо поискать через AVZ.
Есть надежда, правда, что Куреит его убил, но все же надо провериться.
C:\autorun.inf - удалить, если еще остался.

**alsoclean** · 25.10.2007, 18:51

Да было включено-странно...Выключил
Значит буду менять пароли - только бы интернет пустить, а то запарился бегать от компа к компу

**PavelA** · 25.10.2007, 18:57

C:\WINDOWS\system32\avpo.exe - Packed.Win32.NSAnti.r (по Касперскому)
Доктор его не знает.

Теперь по идее Аваст должен ожить.

**alsoclean** · 25.10.2007, 19:05

ntde1ect.com - АВЗ не находит
C:\autorun.inf - находит: как его удалить то?
У Аваста 2 из 7ми провайдеров не работают (Веб Экран и Оутлук)
У Винды по прежнему блокирован файрволл

**PavelA** · 25.10.2007, 19:50

'C:\WINDOWS\system32\avpo0.dll' - точно такой же
Продолжаем:

Код:

begin
ClearQuarantine;
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('\??\C:\WINDOWS\system32\wincab.sys','');
 DeleteFile('C:\WINDOWS\system32\avpo0.dll');
 DeleteFile('C:\autorun.inf');
 BC_DeleteFile('C:\WINDOWS\system32\avpo0.dll');
 DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
 BC_DeleteFile('\??\C:\WINDOWS\system32\wincab.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Прислать новый карантин.

сделать новые логи.

**alsoclean** · 25.10.2007, 20:06

Послал новый карантин

**alsoclean** · 25.10.2007, 20:39

Новые логи

**alsoclean** · 26.10.2007, 11:59

Все ли ок?

**PavelA** · 26.10.2007, 12:11

Не-а. На удивление в логах присутствуют все те, которых мы удаляли.

Выполнить в защищенном режиме (Safe Mode):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('C:\WINDOWS\system32\avpo0.dll');
 DeleteFile('C:\autorun.inf');
 BC_DeleteFile('C:\WINDOWS\system32\avpo0.dll');
 DeleteFile('C:\WINDOWS\system32\wincab.sys');
 BC_DeleteFile('C:\WINDOWS\system32\wincab.sys');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Сделать лог из п.8 Правил.

**alsoclean** · 26.10.2007, 12:55

В Safe Mode сделал. После этого сканирование прерывается на 30% и пишет:
Access violation at address 00402254 in module `avz.exe`. Write of address 4643535D