Подозрение на вирус (2)

[OLmerGrey]

Систематически сталкиваюсь с неожиданными перебоями интернет соединения и локальной сети.

Причём после отключения интернета работа локальной сети сразу восстанавливается, а интернет не включается ещё какое-то время (10-15минут). Также заметил некую закономерность относительно браузеров - если их не запускать, а скажем, лишь обновлять программы, никаких перебоев не наблюдается.

Пытался решить эту проблему с провайдером, но покопавшись, те только пожимают плечами.

Помогите разобраться, пожалуйста, вирус ли это, или мне таки давить на горе провайдера (местного, мелкого, и ленивого).

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

[goredey]

@OLmerGrey, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\WINDOWS\system32\drivers\muvqmvvn.sys','');DeleteFile('C:\WINDOWS\system32\drivers\muvqmvvn.sys');DeleteService('muvqmvvn');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(1);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) -  - (no file) 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обновите продукцию компании Adobe до актуальных версий + установите IE8 ( даже ессли не пользуетесь)

(C:\Program Files\KVIrc\kvirc.exe - вы её устанавливали ? ) - это программа удаленного управления компьютером.

[OLmerGrey]

Итак,проделал рекомендованные операции, однако не сказал бы что проблема нейтрализовалась.

От quarantine<at>virusnet.info ответа пока нет.

KVIrc ставил, однако надобности уже нет. Удалил.

virusinfo_syscheck.zip

mbam-log-2011-01-07 (02-10-46).txt

virusinfo_syscheck.zip

mbam-log-2011-01-07 (02-10-46).txt

[goredey]

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('n:\games\kldedmen\launcher.bak','');DeleteFile('n:\games\kldedmen\launcher.bak');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Удалите данные строчки

Заражённые ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 (Rootkit.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E99D4D0C-EB54-46AF-B62A-3AA1F31D53E5} (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{7558E739-8E7C-44BB-BCE7-1BF0D72B7026} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Объекты реестра заражены:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:

c:\program files\microsoft common (Trojan.Agent) -> No action taken.

Заражённые файлы:

c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> No action taken.

n:\Downlods\winhex 15.5\keygen_zwt.exe (Malware.Tool) -> No action taken.

c:\documents and settings\xobbit\application data\fieryads.dat (Adware.FieryAds) -> No action taken.

c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

c:\WINDOWS\lgmxvpatxqs.dll (Trojan.FakeAlert) -> No action taken.

Что с проблемой? смените все пароли, так как в системе присутствовал червь ворующий пароли

Изменено 7 января, 2011 пользователем goredey

[OLmerGrey]

Скрипт выполнил, реестр почистил, а что делать с заражёнными файлами и папкой microsoft common ?

На сколько я заметил проблема всё ещё есть, но проявляет себя значительно реже.

[goredey]

а что делать с заражёнными файлами и папкой microsoft common ?

Строчки, которые я указал в посте №4 должны быть удалены.

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

[OLmerGrey]

Всё удалено, но проблема ещё проявляется.

log.txt

log.txt

[goredey]

Со своей операционной системы запустите WinsockXPFix. Дальше следуйте по инструкции