Решена Нет выхода в интернет.

[Пётр]

Всем доброго времени суток!
Суть проблемы, неделю назад, стал пропадать инет, при чем модем показывает прописку Дефалта. Я подумал что это провайдер, что-то настраивает. Позавчера ночью инет был, но вчера утром после перезагрузки компа в инет не смог выйти. Я набрал командную строку для выхода в настройки модема, чтобы проверить есть ли прописка, но выскачило, окно с надписью, что сервис блокируется, прогой. К сожалению не успеваю её название увидеть. Проверил CureIT нашел 5 вирусов, удалил, но стало выпадать окно; Explorer ошибка приложения. Сделал восстановление системы, окно пропало, но выхода в инет так и нет. Логи прилагаю.

 

[edde]

Файлы из папки LOG virusinfo_syscheck.zip и virusinfo_syscure.zip прикрепите к следующему сообщению

 

[zirreX]

Также подготовьте лог hijackthis
Как подготовить лог HijackThis

 

[Пётр]

Также подготовьте лог hijackthis
Как подготовить лог HijackThis

Извините за задержку.

 

[icotonev]

• HiJackThis Нужно пофиксить эти строки в HiJackThis. Выставив галочки напротив этих пунктов и нажмите кнопку Fix Checked. Как пофиксить в HijackThis

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - Startup: ЎЎЎЎЎЎ.lnk = C:\WINDOWS\system32\XP-D49EE366.EXE

• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\System32\DRIVERS\cmdmon.sys','');
 QuarantineFile('C:\Downloads\Программы\UltraMon.rar','');
 QuarantineFile('D:\MICROSOF-22311A\MICROSOF-22311ADCM.exe','');
 QuarantineFile('C:\WINDOWS\system32\XP-D49EE366.EXE','');
 QuarantineFile('C:\WINDOWS\System32\drivers\cwqeuu.sys','');
 QuarantineFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\dcm.exe','');
 QuarantineFile('d:\autorun.inf','');
 DeleteFile('C:\WINDOWS\System32\drivers\cwqeuu.sys');
 DeleteFile('C:\WINDOWS\system32\XP-D49EE366.EXE');
 DeleteFile('D:\MICROSOF-22311A\MICROSOF-22311ADCM.exe');
 DeleteFile('c:\recycler\s-1-5-21-1482476501-1644491937-682003330-1013\dcm.exe');
 DeleteFile('d:\autorun.inf');
 DelCLSID('{51H3Y8I7-1GRQ-45DK-OOL9-09001D765456}');
 RegKeyStrParamWrite('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Userinit','C:\WINDOWS\system32\userinit.exe,');
 DeleteService('ebkp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После всех процедур выполните скрипт

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ на quarantine@safezone.cc

Удалить следующие строки найдены МБАМ:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{51h3y8i7-1grq-45dk-ool9-09001d765456} (Generic.Bot.H) -> No action taken.
C:\Documents and Settings\Admin\secupdat.dat (Worm.Autorun) -> No action taken.

Внимание !!! База поcледний раз обновлялась 23.10.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Повторите логи АВЗ..!

 

[Пётр]

Внимание !!! База поcледний раз обновлялась 23.10.2010 необходимо обновить базы при помощи автоматического обновления (Файл/Обновление баз)

Обновить базы не могу, так как комп к инету не подключается. Пишу с ноута.

 

[icotonev]

После выполнения всех процедур, скорее всего, доступ...Тогда попробуйте..!

 

[Пётр]

Удалить следующие строки найдены МБАМ:
Код:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{51h3y8i7-1grq-45dk-ool9-09001d765456} (Generic.Bot.H) -> No action taken.
C:\Documents and Settings\Admin\secupdat.dat (Worm.Autorun) -> No action taken.

Извините, не понял откуда удалить.

 

[icotonev]

Читайте эту тему: Проверка компьютера при помощи Malwarebytes' Anti-Malware (MBAM)

Добавлено через 1 минуту 42 секунды
Изменения системы какие-либо есть?

 

[Пётр]

Читайте эту тему: Проверка компьютера при помощи Malwarebytes' Anti-Malware (MBAM)

Добавлено через 1 минуту 42 секунды
Изменения системы какие-либо есть?

С МВАМ понял, сейчас логи AVZ сделаю. и попробую к инету подключится.

 

[Пётр]

Повторные логи

 

[Пётр]

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ на quarantine@safezone.cc

Отправил

 

[icotonev]

Пётр, Что с доступом?

Добавлено через 38 минут 29 секунд
• Скрипт AVZ.
Выполните скрипт AVZ. Меню Файл - Выполнить скрипт, вставляем написаный скрипт - кнопка Запустить, после выполнения компьютер перезагрузится.

begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
RebootWindows(true);
end.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

 

[akok]

bcqr00011.dat,
bcqr00012.dat,
dcm.exe,
MICROSOF-22311ADCM.exe - Backdoor.Win32.Agent.bawi

 

[Пётр]

Всем доброго времени суток. Не получилось выйти в инет, Сегодня после работы продолжу.

 

[Пётр]

Доброго времени суток. Так и не могу выйти в инет, что-то блокирует, так как подключил другой жесткий диск и вышел без проблем.

 

[icotonev]

Если бы сканирования ComboFix (пост 13)..?

 

[Пётр]

bcqr00011.dat,
bcqr00012.dat,
dcm.exe,
MICROSOF-22311ADCM.exe - Backdoor.Win32.Agent.bawi

4-й удалил 1, 2 и 3 не могу найти, нужно просканировать avz?

 

[icotonev]

Пётр, Это было для вашей информации - что здесь, будут удалены из вашей системы..!Не нужно ничего делать...!

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Прим: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Подробнее в "ComboFix. Руководство по применению."

 

[Пётр]

Готово.