Решена Пропал интернет

Тема в разделе "Лечение компьютерных вирусов", создана пользователем werwoolfwe, 1 ноя 2010.

Статус темы:
Закрыта.
  1. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    После подключения интернета минуты через 2-3 пропадает интернет.
    Грузиться только гугл. Стоит каспер 2010 базы от 27,10,10 нашел вирус в папке пользователь/aplication data/itzqai.exe
    После перезагрузки нашел вирус еще в папке temp.
    Решил проверить на вирусы через лайф сд. Каспер 2009 с базами 27,10,10.
    Не чего не нашел. Проверил avz он вирусов не находит.
    Вот логи.
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      28,1 КБ
      Просмотров:
      4
    • log.txt
      Размер файла:
      22,2 КБ
      Просмотров:
      2
    • info.txt
      Размер файла:
      10,3 КБ
      Просмотров:
      0
    • hijackthis.log
      Размер файла:
      6,1 КБ
      Просмотров:
      1
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".
    Код (Text):
    begin
     SearchRootkit(true, true);
     SetAVZGuardStatus(true);
     QuarantineFile('c:\documents and settings\usr-108\application data\ltzqai.exe','');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\27.exe','');
     QuarantineFile('C:\WINDOWS\system32\04.exe','');
     QuarantineFile('C:\WINDOWS\system32\21.exe','');
     QuarantineFile('C:\WINDOWS\system32\53.exe','');
     QuarantineFile('C:\WINDOWS\system32\Drivers\pe719emu.sys','');
     QuarantineFile('c:\windows\system32\msvmiode.exe','');
     QuarantineFile('c:\windows\cfdrive32.exe','');
     DeleteFile('c:\windows\cfdrive32.exe');
     DeleteFile('c:\windows\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\system32\53.exe');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     DeleteFile('C:\WINDOWS\system32\04.exe');
     DeleteFile('C:\WINDOWS\system32\27.exe');
     DeleteFile('C:\WINDOWS\system32\82.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
     DeleteFile('c:\documents and settings\usr-108\application data\ltzqai.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
     BC_ImportALL;
      ExecuteSysClean;
     BC_Activate;
     RebootWindows(true);
    end.
    После выполнения скрипта компьютер перезагрузится.

    Код (Text):
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
    end.

    Полученный архив отправьте на quarantine<at>safezone.cc с указанием в заголовке письма ссылки на тему. (at=@)

    Обновите базы AVZ и повторите логи.
     
    4 пользователям это понравилось.
  3. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Есть вопрос, что значит:
    Строчка из файла info.txt
     

    Вложения:

    • virusinfo_syscheck.zip
      Размер файла:
      26,2 КБ
      Просмотров:
      5
    • hijackthis.log
      Размер файла:
      5,9 КБ
      Просмотров:
      1
    • info.txt
      Размер файла:
      10,3 КБ
      Просмотров:
      0
    • log.txt
      Размер файла:
      21,8 КБ
      Просмотров:
      1
  4. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

    Добавлено через 12 часов 11 минут 29 секунд
    Базы антивируса в актуальном состоянии?
     
    4 пользователям это понравилось.
  5. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Базы антивируса были от 27.10.10. а логи были 1.11.10.

    mbam-log-2010-11-02 (10-39-11) сделан сразу после сканирования

    mbam-log-2010-11-02 (10-42-13) сделан после исправления программой, вылезло окно с предупреждением кое что исправить не удалось.

    После перезагрузки каспер нашел вирус:
     

    Вложения:

    Последнее редактирование: 2 ноя 2010
  6. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Повторите логи AVZ и RSIT.
     
  7. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Вот логи
     

    Вложения:

    • info.txt
      Размер файла:
      10,3 КБ
      Просмотров:
      1
    • log.txt
      Размер файла:
      22,7 КБ
      Просмотров:
      3
    • virusinfo_syscheck.zip
      Размер файла:
      28,1 КБ
      Просмотров:
      2
  8. ТроПа
    Оффлайн

    ТроПа Активный пользователь

    Сообщения:
    399
    Симпатии:
    738
    А где лог после стандартного скрипта № 3 АВЗ?
     
  9. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Вот он.
     

    Вложения:

  10. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

    1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
    2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
    Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

    Подробнее в "ComboFix. Руководство по применению."
     
  11. thyrex
    Оффлайн

    thyrex Команда форума Супер-Модератор Ассоциация VN/VIP

    Сообщения:
    2.469
    Симпатии:
    3.097
    А также

    Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

    Установите SP3 (может потребоваться активация) + все новые обновления для Windows
    Установите Internet Explorer 8 (даже если им не пользуетесь)

    Иначе лечится будете до зимы
     
  12. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Все проблемы начались после попытки закачки ие8 с сайта майкрософт.
    Сервис пак уже качаю.
    Комбо фикс после сообщения с датой завершает свою работу и удаляется.
    Есть еще идеи?
     
  13. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
    DeleteFile('C:\WINDOWS\cfdrive32.exe');
    QuarantineFile('C:\DOCUME~1\USR-108\LOCALS~1\Temp\63069.exe','');
    DeleteFile('C:\DOCUME~1\USR-108\LOCALS~1\Temp\63069.exe');
    QuarantineFile('C:\WINDOWS\system32\Zsqrm.exe','');
    DeleteFile('C:\WINDOWS\system32\Zsqrm.exe');
     QuarantineFile('C:\WINDOWS\system32\drivers\yybobw.sys','');
     DeleteFile('C:\WINDOWS\system32\drivers\yybobw.sys');
    BC_ImportAll;
    ExecuteSysClean;
    BC_DeleteSvc('iqwv');
    BC_Activate;
    RebootWindows(true);
    end.
     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive('c:\quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@safezone.cc, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.
     
  14. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    После выполнения скрипта нужен еще такой лог.
    Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, DDS.txt и Attach.txt запакуйте файлы и вложите в сообщение.
     
    2 пользователям это понравилось.
  15. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    После каждой перезагрузки каспер находит новых вирусов.
    Хотя я каспером перед этим выполнял полную проверку.
    Еще вылезало ошибка, скриншот ее я прикрепил.
    А файлы в папке полностью удалил.
     

    Вложения:

    Последнее редактирование: 8 ноя 2010
  16. icotonev
    Оффлайн

    icotonev Ассоциация VN

    Сообщения:
    1.405
    Симпатии:
    1.641
    Добавлено через 4 минуты 28 секунд

    Почему...?:)
     
    Последнее редактирование: 8 ноя 2010
  17. Arbitr
    Оффлайн

    Arbitr Ассоциация VN

    Сообщения:
    3.604
    Симпатии:
    2.317
    Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.
    Код (Text):

    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     TerminateProcessByName('c:\windows\system32\msvmiode.exe');
     QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
     QuarantineFile('C:\WINDOWS\system32\74.exe','');
     QuarantineFile('C:\WINDOWS\system32\50.exe','');
     QuarantineFile('C:\WINDOWS\system32\48.exe','');
     QuarantineFile('C:\WINDOWS\Downloaded Program Files\crproc.dll','');
     QuarantineFile('C:\Documents and Settings\USR-108\Application Data\ltzqai.exe','');
     QuarantineFile('c:\windows\system32\msvmiode.exe','');
     DeleteFile('c:\windows\system32\msvmiode.exe');
     DeleteFile('C:\Documents and Settings\USR-108\Application Data\ltzqai.exe');
     DeleteFile('C:\WINDOWS\system32\48.exe');
     DeleteFile('C:\WINDOWS\system32\50.exe');
     DeleteFile('C:\WINDOWS\system32\74.exe');
     DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
     DeleteFile('C:\WINDOWS\cfdrive32.exe');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
     
    После всех процедур выполните скрипт
    Код (Text):

    begin
     CreateQurantineArchive('c:\quarantine.zip');
    end.
     
    В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@safezone.cc, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.
    вам знаком сайт http://audit.gz-kuban.ru? вижу вы с ним работаете??
    Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
    Сделайте новые логи AVZ RSIT
     
    Последнее редактирование: 8 ноя 2010
    6 пользователям это понравилось.
  18. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Работаем с сайтом http://auc.gz-kuban.ru(вроде офф гос сайт).
    Постравил сервис пак 3, и все обновления по 20 сентября, включая ие8.
    Проверил авз(стандартный скрипт 3), и Malwarebytes Anti-Malware.
    Снес каспера 2010 и поставил 2011.
     

    Вложения:

  19. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.449
    Симпатии:
    13.950
    werwoolfwe, что с проблемами сейчас?
     
    2 пользователям это понравилось.
  20. werwoolfwe
    Оффлайн

    werwoolfwe Активный пользователь

    Сообщения:
    18
    Симпатии:
    0
    Вроде все нормально. Всем спасибо.

    Антивирусник, начал выдавать сообщение что базы повреждены, и не обновляется ни с интернета, ни с баз на компьютере, откат к пред идущим базам тоже не работает.
     
    Последнее редактирование: 11 ноя 2010
Статус темы:
Закрыта.

Поделиться этой страницей