интернет вмснет через несколько минут после включения

[Elvina]

Компьютер заразился вирусами, не можем справиться. Интернет повисает и не переходит по ссылкам. Попыталась установить Яндекс-Касперский, он не активируется, не может соединиться сервером. Проверку не проводит до конца программа повисает.

log.txt

info.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
TerminateProcessByName('c:\windows\aadrive32.exe');
TerminateProcessByName('c:\documents and settings\Администратор\application data\10.tmp');
QuarantineFile('C:\WINDOWS\system32\54.exe','');
QuarantineFile('C:\WINDOWS\system32\47.exe','');
QuarantineFile('C:\WINDOWS\system32\45.exe','');
QuarantineFileF('C:\WINDOWS\system32\', '*.exe', false,'', 0, 0, '11.02.2012', '13.02.2012');
QuarantineFile('C:\WINDOWS\system32\system.dll','');
QuarantineFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\Xeesep.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\PAC7302.SYS','');
QuarantineFile('c:\windows\aadrive32.exe','');
QuarantineFile('c:\documents and settings\Администратор\application data\*.tmp','');
DeleteFileMask('c:\documents and settings\Администратор\application data\','*.tmp',false);
DeleteFile('C:\Documents and Settings\Администратор\Application Data\Xeesep.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe');
DeleteFile('C:\WINDOWS\aadrive32.exe');
DeleteFile('c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe');
DeleteFile('C:\WINDOWS\system32\45.exe');
DeleteFile('C:\WINDOWS\system32\47.exe');
DeleteFile('C:\WINDOWS\system32\54.exe');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Xeesep');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','zaber0');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
RegKeyParamDel('HKEY_LOCAL_MACHINE',' system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list','C:\Documents and Settings\Администратор\Application Data\13.tmp');
RegKeyParamDel('HKLM','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(1);
ExecuteRepair(16);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Рекомендуется удалить ПО, которое может конфликтовать с установленной антивирусной программой:

DrWeb CureIT!.

Если данные программы были ранее удалены некорректно, можно воспользоваться специализированными утилитами по очистке их следов с сайтов производителей данного ПО.

 

Сделайте новые логи по правилам.

+

Скачайте Malwarebytes' Anti-Malware здесь или здесь.

Установите mbam-setup-<current number>.exe

Обновите базы.

После окончания обновления баз откажитесь от использования пробной версии Malwarebytes' Anti-Malware Full (нажмите "Отклонить").

Выберите "Perform Full Scan/Полное сканирование", нажмите "Scan/Сканирование", после сканирования - Ok - "Show Results/Показать результаты".

Полученный лог прикрепите к сообщению.

[thyrex]

А также в обязательном порядке перед повторными логами

 

Внимание! Официальная поддержка (и выпуск обновлений) для Windows XP SP2 прекращена

 

Установите SP3 (может потребоваться активация) + все новые обновления для Windows

Установите Internet Explorer 8 (даже если им не пользуетесь)

[Elvina]

Здравствуйте,

 

Это сообщение сформировано автоматической системой приёма писем. Сообщение содержит информацию о том, какие вердикты на файлы (если таковые есть в письме) выносит антивирус с последними обновлениями. Письмо будет передано на рассмотрение вирусному аналитику.

 

1.tmp,

23.tmp,

3.tmp,

4.tmp,

9.tmp,

D.tmp - Trojan.Win32.Jorik.Tedroo.sv

2.tmp,

24.tmp,

7.tmp,

B.tmp,

E.tmp,

zaberg.exe - Trojan.Win32.Jorik.Lethic.kh

25.tmp,

6.tmp,

8.tmp,

A.tmp,

aadrive32.exe,

C.tmp,

F.tmp - Net-Worm.Win32.Kolab.beee

45.exe,

47.exe,

54.exe - Backdoor.Win32.Floder.gpv

ecleaner.exe - Trojan.Win32.Jorik.IRCbot.hjz

 

В настоящий момент эти файлы определяются антивирусом со свежими антивирусными базами.

 

14.tmp,

1C.tmp,

1D.tmp,

1E.tmp,

5.tmp,

bcqr00007.dat,

bcqr00008.dat,

system.dll

 

Вредоносный код в файлах не обнаружен.

 

53.exe,

76.exe,

Xeesep.exe

bcqr00015.dat,

bcqr00016.dat,

PAC7302.SYS

 

Файлы в процессе обработки.

 

С уважением, Лаборатория Касперского

mbam_log_2012_02_14__20_27_40_.txt

Изменено 14 февраля, 2012 пользователем Elvina

[thyrex]

Сообщение №3 проигнорировано.

 

Без его выполнения бороться с сетевым червяком бесполезно

 

Удалите в МВАМ только указанные строки

Обнаруженные процессы в памяти:  1
C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> 1100 -> Действие не было предпринято.

Обнаруженные параметры в реестре:  5
HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|zaber0 (Worm.Autorun.B) -> Параметры: C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run|Microsoft Driver Setup (Backdoor.IRCBot) -> Параметры: C:\WINDOWS\aadrive32.exe -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Worm.AutoRun) -> Параметры: explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe -> Действие не было предпринято.
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Trojan.Agent) -> Параметры: c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe -> Действие не было предпринято.

Объекты реестра обнаружены:  2
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Taskman (Worm.Autorun.B) -> Плохо: (c:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe) Хорошо: () -> Действие не было предпринято.
HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon|Shell (Hijack.Shell) -> Плохо: (explorer.exe,C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe,Explorer.exe) Хорошо: (Explorer.exe) -> Действие не было предпринято.

Обнаруженные папки:  2
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013 (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830 (Worm.AutoRun) -> Действие не было предпринято.

Обнаруженные файлы:  16
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\zaberg.exe (Worm.Autorun.B) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\ecleaner.exe (Worm.Autorun.B) -> Действие не было предпринято.
G:\D\Фотки\Новая папка\x_4aa9a807.jpg (Extension.Mismatch) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\22.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\Documents and Settings\Администратор\Application Data\23.tmp (Trojan.Agent) -> Действие не было предпринято.
C:\WINDOWS\aadrive32.exe (Backdoor.IRCBot) -> Действие не было предпринято.
C:\RECYCLER\R-1-5-21-1482476501-1644491937-682003330-1013\Desktop.ini (Worm.AutoRun.Gen) -> Действие не было предпринято.
C:\RECYCLER\S-1-5-21-0243556031-888888379-781863308-1830\Desktop.ini (Worm.AutoRun) -> Действие не было предпринято.