-
Junior Member
- Вес репутации
- 50
Инет вылетает
Вылетает инет. Все начинает с того как включаю интерент и захожу в оперу, сразу же аваст блокирут какой то вирус, потом инет может не отключатся если не зайти в онлайн игру или же просто открыть приложение вконтакте( слушать музыку, смотреть видео)... после того как инет отключается, выходит перезапуск подключения, но без ошибки.. звонил в тех поддержку своего инетпровайдера, сказали что интернет отключает сам юзер, т.е я
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Пофиксите в hijackthis -
Код:
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
TerminateProcessByName('c:\windows\system32\msvmiode.exe');
QuarantineFile('c:\windows\system32\msvmiode.exe','');
TerminateProcessByName('c:\windows\cfdrive32.exe');
QuarantineFile('c:\windows\cfdrive32.exe','');
DeleteFile('c:\windows\cfdrive32.exe');
DeleteFile('c:\windows\system32\msvmiode.exe');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe','');
QuarantineFile('C:\WINDOWS\system32\64.exe','');
QuarantineFile('C:\WINDOWS\system32\86.exe','');
QuarantineFile('C:\WINDOWS\system32\16.exe','');
QuarantineFile('C:\WINDOWS\system32\24.exe','');
QuarantineFile('C:\WINDOWS\system32\42.exe','');
DeleteFile('C:\WINDOWS\system32\42.exe');
DeleteFile('C:\WINDOWS\system32\24.exe');
DeleteFile('C:\WINDOWS\system32\16.exe');
DeleteFile('C:\WINDOWS\system32\86.exe');
DeleteFile('C:\WINDOWS\system32\64.exe');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\ltzqai.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1455\psyjo3.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','psysjo3');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,2,true);
ExecuteRepair(11);
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
После перезагрузки:
- выполните такой скрипт
Код:
begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
- Повторите логи
- Скачайте RSIT. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.
-
-
Junior Member
- Вес репутации
- 50
Не знаю правильно ли логи выложил, скажите если что не так
-
Логи АВЗ как-будто старые -
Сканирование запущено в 09.09.2010 15:21:02
Нужны новые
-
-
Junior Member
- Вес репутации
- 50
Эм.. а как достать новые логи?.. попробовал прогнать ещё раз скрипт, логи не появились
-
Нужно заново выполнить правила, то есть провести сканирование, перед этим удалив старые логи.
-
-
Junior Member
- Вес репутации
- 50
1. В HiLack`e нет строки O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
2. Выполнил скрипт, в папке авз LOG ничего не появилось
что делать
-
Какой Вы скрипт выполнили? Нужно выполнять пункты правил, помните как Вы делали, чтобы появились первые логи, которые висят у Вас в первом сообщении, вот надо точно так же.
-
-
Junior Member
- Вес репутации
- 50
-
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINDOWS\system32\17.exe');
DeleteFile('C:\WINDOWS\system32\06.exe');
DeleteFile('C:\WINDOWS\system32\51.exe');
DeleteFile('C:\WINDOWS\system32\71.exe');
DeleteFile('C:\WINDOWS\system32\84.exe');
DeleteFile('C:\WINDOWS\system32\80.exe');
DeleteFile('C:\WINDOWS\system32\48.exe');
DeleteFile('C:\WINDOWS\system32\83.exe');
DeleteFile('C:\WINDOWS\system32\22.exe');
DeleteFile('C:\WINDOWS\system32\76.exe');
DeleteFile('C:\WINDOWS\system32\35.exe');
DeleteFile('C:\WINDOWS\system32\70.exe');
DeleteFile('C:\WINDOWS\system32\57.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
После выполнения скрипта компьютер перезагрузится.
- Сделайте лог МВАМ
-
-
Junior Member
- Вес репутации
- 50
-
Удалите в МВАМ всё кроме -
Код:
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
- Перезагрузитесь
- Проведи повторную проверку МВАМ
- Новый лог приложите сюда
-
-
Junior Member
- Вес репутации
- 50
-
Удалите в МВАМ -
Код:
Зараженные параметры в реестре:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\12cfg214-k641-12sf-n85p (Worm.AutoRun) -> No action taken.
Зараженные файлы:
C:\Documents and Settings\Администратор\Local Settings\Temp\019244.exe (Heuristics.Shuriken) -> No action taken.
C:\Documents and Settings\Администратор\Local Settings\Temp\1070.exe (Heuristics.Shuriken) -> No action taken.
- Повторите лог МВАМ
-
-
Junior Member
- Вес репутации
- 50
-
По логу МВАМ, всё чисто, а по Вашим наблюдениям? В частности интересует наличие процессов msvmiode.exe и cfdrive32.exe
-
-
Junior Member
- Вес репутации
- 50
Как можно проверить эти процессы?
-
Через диспетчер задач(собственно Ctrl+Alt+Del).
-
-
Junior Member
- Вес репутации
- 50
-
В логах плохого не увидел, проблема решена?
-