Jump to content
СофтФорум - всё о компьютерах и не только

Подозрение на вирус (2)


Recommended Posts

Систематически сталкиваюсь с неожиданными перебоями интернет соединения и локальной сети.

Причём после отключения интернета работа локальной сети сразу восстанавливается, а интернет не включается ещё какое-то время (10-15минут). Также заметил некую закономерность относительно браузеров - если их не запускать, а скажем, лишь обновлять программы, никаких перебоев не наблюдается.

Пытался решить эту проблему с провайдером, но покопавшись, те только пожимают плечами.

Помогите разобраться, пожалуйста, вирус ли это, или мне таки давить на горе провайдера (местного, мелкого, и ленивого).

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

info.txt

log.txt

virusinfo_syscure.zip

virusinfo_syscheck.zip

Link to comment
Share on other sites

@OLmerGrey, AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);ClearQuarantine;QuarantineFile('C:\WINDOWS\system32\drivers\muvqmvvn.sys','');DeleteFile('C:\WINDOWS\system32\drivers\muvqmvvn.sys');DeleteService('muvqmvvn');BC_ImportAll;ExecuteSysClean;BC_Activate;ExecuteRepair(1);RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

beginCreateQurantineArchive(GetAVZDirectory+'quarantine.zip');end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Полученный архив отправьте на quarantine<at>virusnet.info (at=@) с указанной ссылкой на тему. , в названии темы укажите - "Проверка карантина". В теле сообщения укажите адрес своей темы на форуме. Результаты ответа, сообщите здесь, в теме.

Сделайте еще раз 2-й стандартный скрпит, лог virusinfo_syscheck.zip приложите к посту.

Пофиксить в HijackThis следующие строчки

R3 - URLSearchHook: (no name) -  - (no file) 

+

Скачайте Malwarebytes' Anti-Malware или с зеркала, установите, обновите базы, выберите "Perform Full Scan", нажмите "Scan", после сканирования - Ok - Show Results (показать результаты) . Откройте лог и скопируйте в сообщение.

Если базы MBAM в автоматическом режиме обновить не удалось, обновите их отдельно. Загрузить обновление MBAM.

Обновите продукцию компании Adobe до актуальных версий + установите IE8 ( даже ессли не пользуетесь)

(C:\Program Files\KVIrc\kvirc.exe - вы её устанавливали ? ) - это программа удаленного управления компьютером.

Link to comment
Share on other sites

Итак,проделал рекомендованные операции, однако не сказал бы что проблема нейтрализовалась.

От quarantine<at>virusnet.info ответа пока нет.

KVIrc ставил, однако надобности уже нет. Удалил.

virusinfo_syscheck.zip

mbam-log-2011-01-07 (02-10-46).txt

virusinfo_syscheck.zip

mbam-log-2011-01-07 (02-10-46).txt

Link to comment
Share on other sites

AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".

beginSearchRootkit(true, true);SetAVZGuardStatus(True);QuarantineFile('n:\games\kldedmen\launcher.bak','');DeleteFile('n:\games\kldedmen\launcher.bak');BC_ImportAll;ExecuteSysClean;BC_Activate;RebootWindows(true);end.

После выполнения скрипта компьютер перезагрузится.

Удалите данные строчки

Заражённые ключи в реестре:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\oreans32 (Rootkit.Agent) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{E99D4D0C-EB54-46AF-B62A-3AA1F31D53E5} (Trojan.FakeAlert) -> No action taken.

HKEY_CLASSES_ROOT\TypeLib\{77D6DDFA-7834-4541-B2B3-A8B0FB0E3924} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\Interface\{7558E739-8E7C-44BB-BCE7-1BF0D72B7026} (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\ToolBand.XTTBPos00.1 (Trojan.BHO) -> No action taken.

HKEY_CLASSES_ROOT\ToolBand.XTTBPos00 (Trojan.BHO) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_1 (Rootkit.Agent) -> Value: option_1 -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_2 (Rootkit.Agent) -> Value: option_2 -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\option_3 (Rootkit.Agent) -> Value: option_3 -> No action taken.

Объекты реестра заражены:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (PUM.Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Заражённые папки:

c:\program files\microsoft common (Trojan.Agent) -> No action taken.

Заражённые файлы:

c:\WINDOWS\system32\drivers\oreans32.sys (Rootkit.Agent) -> No action taken.

n:\Downlods\winhex 15.5\keygen_zwt.exe (Malware.Tool) -> No action taken.

c:\documents and settings\xobbit\application data\fieryads.dat (Adware.FieryAds) -> No action taken.

c:\program files\common files\keylog.txt (Malware.Trace) -> No action taken.

c:\WINDOWS\lgmxvpatxqs.dll (Trojan.FakeAlert) -> No action taken.

Что с проблемой? смените все пароли, так как в системе присутствовал червь ворующий пароли

Edited by goredey
  • Upvote 1
Link to comment
Share on other sites

Скрипт выполнил, реестр почистил, а что делать с заражёнными файлами и папкой microsoft common ?

На сколько я заметил проблема всё ещё есть, но проявляет себя значительно реже.

Link to comment
Share on other sites

а что делать с заражёнными файлами и папкой microsoft common ?

Строчки, которые я указал в посте №4 должны быть удалены.

+

Скачайте RSIT или отсюда. Запустите, выберите проверку файлов за последние три месяца и нажмите продолжить. Должны открыться два отчета log.txt и info.txt. Прикрепите их к следующему сообщению. Если вы их закрыли, то логи по умолчанию сохраняются в одноименной папке (RSIT) в корне системного диска.

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...