Решена Пропал интернет

[werwoolfwe]

После подключения интернета минуты через 2-3 пропадает интернет.
Грузиться только гугл. Стоит каспер 2010 базы от 27,10,10 нашел вирус в папке пользователь/aplication data/itzqai.exe
После перезагрузки нашел вирус еще в папке temp.
Решил проверить на вирусы через лайф сд. Каспер 2009 с базами 27,10,10.
Не чего не нашел. Проверил avz он вирусов не находит.
Вот логи.

 

[akok]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(true);
 QuarantineFile('c:\documents and settings\usr-108\application data\ltzqai.exe','');
 QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\27.exe','');
 QuarantineFile('C:\WINDOWS\system32\04.exe','');
 QuarantineFile('C:\WINDOWS\system32\21.exe','');
 QuarantineFile('C:\WINDOWS\system32\53.exe','');
 QuarantineFile('C:\WINDOWS\system32\Drivers\pe719emu.sys','');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 QuarantineFile('c:\windows\cfdrive32.exe','');
 DeleteFile('c:\windows\cfdrive32.exe');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\WINDOWS\system32\53.exe');
 DeleteFile('C:\WINDOWS\system32\21.exe');
 DeleteFile('C:\WINDOWS\system32\04.exe');
 DeleteFile('C:\WINDOWS\system32\27.exe');
 DeleteFile('C:\WINDOWS\system32\82.exe');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
 DeleteFile('c:\documents and settings\usr-108\application data\ltzqai.exe');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
 BC_ImportALL;
  ExecuteSysClean;
 BC_Activate;
 RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

Полученный архив отправьте на quarantine<at>safezone.cc с указанием в заголовке письма ссылки на тему. (at=@)

Обновите базы AVZ и повторите логи.

 

[werwoolfwe]

Есть вопрос, что значит:

AV: Антивирус Касперского (outdated)

Строчка из файла info.txt

 

[akok]

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) - Откройте лог и скопируйте в блокнот и прикрепите его к следующему посту.

Добавлено через 12 часов 11 минут 29 секунд

AV: Антивирус Касперского (outdated)

Базы антивируса в актуальном состоянии?

 

[werwoolfwe]

Базы антивируса были от 27.10.10. а логи были 1.11.10.

mbam-log-2010-11-02 (10-39-11) сделан сразу после сканирования

mbam-log-2010-11-02 (10-42-13) сделан после исправления программой, вылезло окно с предупреждением кое что исправить не удалось.

После перезагрузки каспер нашел вирус:

C:\WINDOWS\system32\47.scr Trojan.win32.jorik.hamweq.be

02.11.2010 11:07:47 Обнаружено: UDS: DangerousObject.Multi.Generic Антивирус Касперского C:\seh.exe сервис KSN

 

[akok]

Повторите логи AVZ и RSIT.

 

[werwoolfwe]

Вот логи

 

[ТроПа]

А где лог после стандартного скрипта № 3 АВЗ?

 

[werwoolfwe]

Вот он.

 

[akok]

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

 

[thyrex]

А также

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

Иначе лечится будете до зимы

 

[werwoolfwe]

Все проблемы начались после попытки закачки ие8 с сайта майкрософт.
Сервис пак уже качаю.
Комбо фикс после сообщения с датой завершает свою работу и удаляется.
Есть еще идеи?

 

[Arbitr]

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
QuarantineFile('C:\DOCUME~1\USR-108\LOCALS~1\Temp\63069.exe','');
DeleteFile('C:\DOCUME~1\USR-108\LOCALS~1\Temp\63069.exe');
QuarantineFile('C:\WINDOWS\system32\Zsqrm.exe','');
DeleteFile('C:\WINDOWS\system32\Zsqrm.exe');
 QuarantineFile('C:\WINDOWS\system32\drivers\yybobw.sys','');
 DeleteFile('C:\WINDOWS\system32\drivers\yybobw.sys');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('iqwv');
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
 CreateQurantineArchive('c:\quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@safezone.cc, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.

 

[akok]

После выполнения скрипта нужен еще такой лог.
Скачайте DDS или с зеркала и сохраните на рабочий стол, отключите антивирус и запустите dds.scr, когда сканирование закончится, DDS.txt и Attach.txt запакуйте файлы и вложите в сообщение.

 

[werwoolfwe]

После каждой перезагрузки каспер находит новых вирусов.
Хотя я каспером перед этим выполнял полную проверку.
Еще вылезало ошибка, скриншот ее я прикрепил.
А файлы в папке полностью удалил.

 

[icotonev]

Добавлено через 4 минуты 28 секунд

А также

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows
Установите Internet Explorer 8 (даже если им не пользуетесь)

Иначе лечится будете до зимы

Версия Windows: 5.1.2600, Service Pack 2

Почему...?

 

[Arbitr]

Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 TerminateProcessByName('c:\windows\system32\msvmiode.exe');
 QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
 QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
 QuarantineFile('C:\WINDOWS\system32\74.exe','');
 QuarantineFile('C:\WINDOWS\system32\50.exe','');
 QuarantineFile('C:\WINDOWS\system32\48.exe','');
 QuarantineFile('C:\WINDOWS\Downloaded Program Files\crproc.dll','');
 QuarantineFile('C:\Documents and Settings\USR-108\Application Data\ltzqai.exe','');
 QuarantineFile('c:\windows\system32\msvmiode.exe','');
 DeleteFile('c:\windows\system32\msvmiode.exe');
 DeleteFile('C:\Documents and Settings\USR-108\Application Data\ltzqai.exe');
 DeleteFile('C:\WINDOWS\system32\48.exe');
 DeleteFile('C:\WINDOWS\system32\50.exe');
 DeleteFile('C:\WINDOWS\system32\74.exe');
 DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
 DeleteFile('C:\WINDOWS\cfdrive32.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
 CreateQurantineArchive('c:\quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин. Отправьте c:\quarantine.zip на адрес quarantine@safezone.cc, в названии темы укажите – "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа сообщите здесь, в теме.
вам знаком сайт http://audit.gz-kuban.ru? вижу вы с ним работаете??
Скачайте Malwarebytes Anti-Malware, установите, обновите базы, выберите Perform Full Scan, нажмите Scan, после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в блокнот и выложите в сообщение.
Сделайте новые логи AVZ RSIT

 

[werwoolfwe]

Работаем с сайтом http://auc.gz-kuban.ru(вроде офф гос сайт).
Постравил сервис пак 3, и все обновления по 20 сентября, включая ие8.
Проверил авз(стандартный скрипт 3), и Malwarebytes Anti-Malware.
Снес каспера 2010 и поставил 2011.

 

[akok]

werwoolfwe, что с проблемами сейчас?

 

[werwoolfwe]

Вроде все нормально. Всем спасибо.

Антивирусник, начал выдавать сообщение что базы повреждены, и не обновляется ни с интернета, ни с баз на компьютере, откат к пред идущим базам тоже не работает.