интернет вмснет через несколько минут после включения

12 февраля, 2012

Компьютер заразился вирусами, не можем справиться. Интернет повисает и не переходит по ссылкам. Попыталась установить Яндекс-Касперский, он не активируется, не может соединиться сервером. Проверку не проводит до конца программа повисает.

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

12 февраля, 2012

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\aadrive32.exe');
TerminateProcessByName('c:\documents and settings\Администратор\application data\10.tmp');
QuarantineFile('C:\WINDOWS\system32\54.exe','');
QuarantineFile('C:\WINDOWS\system32\47.exe','');
QuarantineFile('C:\WINDOWS\system32\45.exe','');
QuarantineFileF('C:\WINDOWS\system32\', '*.exe', false,'', 0, 0, '11.02.2012', '13.02.2012');
QuarantineFile('C:\WINDOWS\system32\system.dll','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Xeesep.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\PAC7302.SYS','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\*.tmp','');
DeleteFileMask('c:\documents and settings\Администратор\application data\','*.tmp',false);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Xeesep.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xeesep');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Администратор\Application Data\13.tmp');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

DrWeb CureIT!.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

12 февраля, 2012

А также в обязательном порядке перед повторными логами

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

14 февраля, 2012

Здравствуйте,

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

1.tmp,

23.tmp,

3.tmp,

4.tmp,

9.tmp,

D.tmp - Trojan.Win32.Jorik.Tedroo.sv

2.tmp,

24.tmp,

7.tmp,

B.tmp,

E.tmp,

zaberg.exe - Trojan.Win32.Jorik.Lethic.kh

25.tmp,

6.tmp,

8.tmp,

A.tmp,

aadrive32.exe,

C.tmp,

F.tmp - Net-Worm.Win32.Kolab.beee

45.exe,

47.exe,

54.exe - Backdoor.Win32.Floder.gpv

ecleaner.exe - Trojan.Win32.Jorik.IRCbot.hjz

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

14.tmp,

1C.tmp,

1D.tmp,

1E.tmp,

5.tmp,

bcqr00007.dat,

bcqr00008.dat,

system.dll

Вредоносный код в файлах не обнаружен.

53.exe,

76.exe,

Xeesep.exe

bcqr00015.dat,

bcqr00016.dat,

PAC7302.SYS

Файлы в процессе обработки.

С уважением, Лаборатория Касперского

mbam_log_2012_02_14__20_27_40_.txt

Изменено 14 февраля, 2012 пользователем Elvina

14 февраля, 2012

Сообщение №3 проигнорировано.

Без его выполнения бороться с сетевым червяком бесполезно

Удалите в МВАМ только указанные строки

Обнаруженные процессы в памяти:  1
C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> 1100 -> Действие не было предпринято.

Обнаруженные параметры в реестре:  5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|zaber0 (Worm.Autorun.B) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe -> Действие не было предпринято.

Объекты реестра обнаружены:  2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun.B) -> Плохо: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.

Обнаруженные папки:  2
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Действие не было предпринято.

Обнаруженные файлы:  16
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Worm.Autorun.B) -> Действие не было предпринято.
G:\D\Фотки\Новая папка\x_4aa9a807.jpg (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\22.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\23.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> Действие не было предпринято.

интернет вмснет через несколько минут после включения

Рекомендуемые сообщения

Elvina

Ссылка на комментарий

Поделиться на другие сайты

Roman_Five

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Elvina

Ссылка на комментарий

Поделиться на другие сайты

thyrex

Ссылка на комментарий

Поделиться на другие сайты

Пожалуйста, войдите, чтобы комментировать

Похожий контент

Сайт

Активность

Магазин

Поддержка

Kaspersky Support Forum