Вирус блокирует подключение к Интернету

[Victor_]

Здравствуйте.

Несколько дней назад при запуске компьютера стало невозможно подключиться к Ethernet, выдаётся сообщение: "Объект"Подключение по локальной сети" не найден". Во всех точках восстановления в перечне затрагиваемых программ, которые будут удалены и затем восстановлены, появился список каких-то странных драйверов:

 

Компания Hewlett-Packard (SCSIAdapter) 08/06/2010 6.12.6.65

Корпорация Майкрософт (Net) 06/21/2006 6.1.7600.16385

Майкрософт (NetService) 06/21/2006 6.1.7600.16385

Майкрософт (SmartCardFilter) 06/21/2006 6.1.7600.16385

Службы удаленных рабочих столов (Майкрософт) (Printer) 06/21/2006 6....

Microsoft Remote Desktop Services (Printer) 06/21/2006 6.1.7601.17514

 

Подключиться к Интернету становится возможным только после перезагрузки компьютера, то есть его приходится перезагружать сразу же после каждого запуска. Было проведено сканирование Avira Internet Security, Malwarebytes Anti-Malware, Dr.Web CureIt. Сканеры выявили и поместили в карантин 7 вредоносных объектов, однако проблему это не решило.

virusinfo_syscheck.zip

virusinfo_syscure.zip

info.txt

log.txt

[Victor_]

Кроме того, нарушилась нормальная автозагрузка программ.Операционная система Windows 7 Ultimate x64. Буду благодарен за помощь.

 

Кстати, год назад на этом форуме уже решили такую же проблему (тема "Вредоносные драйвера").

[Roman_Five]

Выполните скрипт в AVZ (AVZ, Меню "Файл - Выполнить скрипт"):

begin
ShowMessage('Внимание! Перед выполнением скрипта AVZ автоматически закроет все сетевые подключения.' + #13#10 + 'После перезагрузки компьютера подключения к сети будут восстановлены в автоматическом режиме.');
ExecuteFile('net.exe', 'stop tcpip /y', 0, 15000, true);
ClearQuarantine;
QuarantineFile('C:\Windows\system32\deqjotn.dll','');
QuarantineFile('C:\Users\1\AppData\Local\Temp\49CC70AB.sys','');
QuarantineFile('C:\Users\1\AppData\Local\Temp\49059806.sys','');
QuarantineFile('C:\Windows\system32\drivers\187AE85C9.sys','');
QuarantineFile('C:\Windows\Installer\87741.msi','');
QuarantineFile('C:\Windows\SysWOW64\sks2bcr.dll','');
QuarantineFile('C:\Windows\System32\sks2bcr.dll','');
DeleteFile('C:\Windows\system32\deqjotn.dll','32');
DelAutorunByFileName('C:\Windows\system32\deqjotn.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair (10);
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится.

Для создания архива с карантином выполните скрипт:

begin
CreateQurantineArchive(GetAVZDirectory + 'Qurantine.zip');
end.

Отправьте на проверку файл Quarantine.zip из папки AVZ через данную форму или через личный кабинет (если являетесь пользователем продуктов Лаборатории Касперского и зарегистрированы).

Для получения ответа в более короткий срок отправьте Ваш запрос через Личный кабинет.

В строке "Подробное описание возникшей ситуации:" укажите пароль на архив "virus" (без кавычек).

В строке "Электронный адрес:" укажите адрес своей электронной почты.

Полученный ответ сообщите в этой теме.

 

Пофиксите в HijackThis (некоторых строк после выполнения первого скрипта AVZ может уже не быть):

O2 - BHO: (no name) - {8984B388-A5BB-4DF7-B274-77B879E179DB} - (no file)
O20 - AppInit_DLLs: C:\Windows\system32\deqjotn.dll

 

Сделайте новые логи по правилам.

 

+

Выполните в AVZ восьмой стандартный скрипт (главное окно AVZ - Файл - Стандартные скрипты - 8. VirusInfo.Info: Скрипт сбора файлов для экспресс-анализа ПК - Выполнить отмеченные скрипты).

Загрузите архив virusinfo_auto_{name_PC}.zip из папки AVZ4/LOG через следующую форму, не забыв отметить пункт "Отправить отчет о сканировании на E-mail" и указать реальный адрес своей электронной почты.

Ссылки на результаты проверки онлайн-сервисом VirusDetector и обсуждение результатов проверки из полученного письма с темой "VirusDetector - обработка карантина завершена" после загрузки карантина приложите здесь.

Подробнее с правилами сервиса VirusDetector можно ознакомиться здесь.

 

+

Проверьте компьютер утилитой TDSSkiller из данной статьи.

http://support.kaspersky.ru/faq/?qid=208639606

Важно: перед началом проверки нажмите ссылку "изменить параметры проверки" и поставьте галочки в дополнительных опциях.

Полученный лог из корня диска С приложите к новому сообщению.

[Victor_]

Выполнил все рекомендации, проблема осталась. Результаты проверки онлайн-сервисом VirusDetector: http://virusinfo.info/virusdetector/report.php?md5=81E7B20B543A46EBFD456B45FF24E508 Обсуждение результатов проверки: http://virusinfo.info/showthread.php?t=144945 Новые логи (кроме ответа из вирусной лаборатории, пока не пришёл):

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

TDSSKiller.2.9.2.0_04.09.2013_02.17.40_log.txt

[Roman_Five]

Сделайте лог Combofix

 

http://safezone.cc/forum/showthread.php?t=2773

[Victor_]

Готово.

ComboFix.txt

[Roman_Five]

что с проблемой?

[Victor_]

Осталась, как и была.

 

Кстати, ComboFix нарыл кучу каких-то драйверов HP. Не из-за них случайно?

[Roman_Five]

на какую самую раннюю точку Вы можете "откатить" систему?

[Victor_]

Спутал, не ComboFix, а TDSSkiller.

 

На 18.08.13, но в ней тоже "прописались" эти драйвера. Однако ранее я уже пытался откатить на 2 последние точки восстановления, выходило сообщение "Восстановление не было успешно завершено, не удалось заменить файл C/Windows, неизвестная ошибка". Ещё у меня есть на внешнем жёстком диске образ системы от 16.04.13, неужели настолько серьёзно, что придётся восстанавливать из него?

[Roman_Five]

не переживайте про драйверы HP. они просто без проверенной подписи.

HP LaserJet Service - https://www.virustotal.com/ru/file/3f57ce29b52d32f7061407b63c4a9786f5b623e9f9f1121b02182de044110d08/analysis/

hpqcxs08 - https://www.virustotal.com/ru/file/90b14e0a8376ae51872d89c141e88ae144b742805f94b4f7948e295322c78b9d/analysis/

hpqddsvc - https://www.virustotal.com/ru/file/d57bc2148653da5596fb49f1086d165b11c9f6c644608202c08305d3c8499cfe/analysis/

Net Driver HPZ12 - https://www.virustotal.com/ru/file/68793d15566f387650e9c5010e1ca73bde3eb4ba431ea0a1673004cae08413b0/analysis/

Pml Driver HPZ12 - https://www.virustotal.com/ru/file/efc0f3da49839ca263cd95ae5015f4fc554d9d845a58a699c542c8c96e70ed3c/analysis/

 

не удалось заменить файл C/Windows, неизвестная ошибка

 

попробуем побороть.

 

Win+R

cmd

chhdsk C: /v /f /r /x

Y

перезагрузиться и подождать, пока проверится диск С

 

пробовать восстановиться на 18.08.13

 

обновление KB2859537 у Вас установлено?

 

https://support.microsoft.com/kb/2859537

Известные проблемы, связанные с этим обновлением для системы безопасности

После установки обновления 2859537 у пользователей могут возникать проблемы с запуском некоторых программ. Кроме того, у некоторых пользователей могут возникнуть сложности с перезагрузкой компьютера после применения этого обновления. Корпорация Майкрософт работает над устранением этой проблемы. Подробная информация будет размещаться по мере ее появления.

не Ваш случай?

[Victor_]

Такое обновление у меня не установлено.

При вводе команды в командную строку она не выполняется, выдаётся сообщение: "chhdsk не является внутренней или внешней командой, исполняемой программой или пакетным файлом."

Проблемы на компьютере начались 29 августа после установки программы UltraMon 3.2.2 x64 с кейгеном, скачанной по ссылке: http://*******/soft/manager/12557-ultramon.html Программу снёс на следующий же день, она вызывала сбои проводника, проблемы остались.

 

Строгое предупреждение от модератора Roman_Five

ссылку затёр. Варез!

[Roman_Five]

chhdsk

 

сори за опечатку

chkdsk

[Victor_]

Проверка диска командой была проведена. Однако при попытке откатить на точку восстановления опять появилось сообщение: "Восстановление системы не было успешно завершено. Системные файлы и параметры на этом компьютере не были изменены. Программе восстановления не удалось заменить файл (C:\Windows) его исходной копией из точки восстановления. Непредвиденная ошибка при восстановлении системы (0x80071a90)".

[Roman_Five]

1. качаем System Update Readiness Tool и проверяем

http://www.microsoft.com/ru-ru/download/details.aspx?id=20858

 

2. командную строку от имени администратора (пуск-в строке поиска cmd - правый клик) - sfc /scannow

 

3. снова проверяем System Update Readiness Tool

 

пробуем сделать откат.