Интернет отключается

[xvras]

Добрый день.

Существует такая проблема:
Подключаюсь к интернету через адсл модем с логином и паролем, проходит от 15 минут до часа - интернет пропадает. Причем соединение остается активным (компьютеры в трее помигивают). При нажатии на информацию о подключении окно появляется на полсекунды и пропадает.

Чтобы отключиться - требуется перезагрузка и подключение заново.
Все бы ничего, но подключение идет с сервера и грузится он дольше обычных компов. Да и не должен сервер раз в час перезагружаться.

Вот есть такой подозрение что это вирус, так как встречаюсь с этим второй раз. Первый раз пришлось переобвешивать систему.

Благодарю.

[thyrex]

Сделайте лог gmer, но только из локальной, а не терминальной сессии

[xvras]

К сожалению прям сейчас не могу сделать локально. Высылаю терминальную.

Если еще потребуется - будет локальная.

[Белый Сокол]

Сохраните текст ниже как cleanup.bat в ту же папку, где находится ni40hb0g.exe (gmer)

Код:

ni40hb0g.exe -del service TDSSserv.sys
ni40hb0g.exe -del file "c:\windows\system32\drivers\TDSSpxwe.sys"
ni40hb0g.exe -del file "c:\windows\system32\TDSSoitu.dll"
ni40hb0g.exe -del file "c:\windows\system32\TDSSpaxt.log"
ni40hb0g.exe -del file "C:\Temp\TDSSd099.tmp"
ni40hb0g.exe -del file "C:\Temp\TDSSd116.tmp"
ni40hb0g.exe -del file "C:\WINNT\system32\drivers\TDSSpxwe.sys"
ni40hb0g.exe -del file "C:\WINNT\system32\drivers\tdssserv.sys"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSScbqp.dll"
ni40hb0g.exe -del file "C:\WINNT\system32\tdssl.dll"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSSnrse.dll"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSSoiqh.dll"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSSoitu.dll"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSSosvn.dll"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSSpaxt.log"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSSpqxt.dat"
ni40hb0g.exe -del file "C:\WINNT\system32\TDSSsbhc.log"
ni40hb0g.exe -del file "C:\WINNT\Temp\TDSS4df1.tmp"
ni40hb0g.exe -del file "C:\WINNT\Temp\TDSS5795.tmp"
ni40hb0g.exe -del file "C:\WINNT\Temp\TDSS5db0.tmp"
ni40hb0g.exe -del file "C:\WINNT\Temp\TDSS638c.tmp"
ni40hb0g.exe -del file "C:\WINNT\Temp\TDSS69f5.tmp"
ni40hb0g.exe -del file "C:\WINNT\Temp\TDSS7dda.tmp"
ni40hb0g.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys"
ni40hb0g.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys"
ni40hb0g.exe -reboot

И запустите cleanup.bat. Компьютер перезагрузится.

Повторите лог.

[xvras]

Лог после очистки.

[thyrex]

Выполните скрипт в AVZ

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('c:\winnt\system32\drivers\TDSSmtve.sys','');
DeleteFile('c:\winnt\system32\drivers\TDSSmtve.sys');
QuarantineFile('c:\winnt\system32\TDSSarxx.dll','');
DeleteFile('c:\winnt\system32\TDSSarxx.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

Сохраните текст ниже как cleanup.bat в ту же папку, где находится ni40hb0g.exe (gmer)

Код:

ni40hb0g.exe -del service TDSSserv.sys
ni40hb0g.exe -del file "c:\winnt\system32\drivers\TDSSmtve.sys"
ni40hb0g.exe -del file "c:\winnt\system32\TDSSarxx.dll"
ni40hb0g.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv.sys"
ni40hb0g.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys"
ni40hb0g.exe -reboot

И запустите cleanup.bat
Компьютер перезагрузится

Сделать новый лог gmer.

[xvras]

cleanup.bat выдал пару ошибок что файл был не найден, но что-то удалил.

карантин загружен.

[Rene-gad]

- Прочитайте и сделайте: http://virusinfo.info/showthread.php?t=50169
- Выполните команды в GMER.

Код:

gmer.exe -del file "%systemroot%\system32\TDSSarxx.dll"
gmer.exe -del file "%systemroot%\system32\drivers\TDSSmtve.sys"
gmer.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\TDSSserv.sys"
gmer.exe -reboot

- Повторите лог gmer + логи по п. 2 и 3 Диагностики.

[xvras]

TDSSRemover вызывает синий экран, дальнейшие действия ?
код Gmer выполнять ? логи делать ?

[Белый Сокол]

Выполните команды в GMER и повторите лог гмер.

[PavelA]

код Gmer выполнять ? логи делать ?

Выполнять код и логи делать.

[xvras]

Сделано!

add: + логи с AVZ

[Rene-gad]

c:\documents and settings\administrator.prodvin\desktop\ni40hb0g.ex e - это gmer?!
Требование правил

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.

распространяется и на Вас.

- Обновите базы АВЗ: (Файл/Обновление баз).
- Отключите ПК от интернета/локалки
- Отключите Антивирус и Файрвол.
- Отключите Системное восстановление.

-Выполните скрипт:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
 DeleteService('rk_remover');
 QuarantineFile('C:\Temp\1\leaotcpp.sys','');
 DeleteFile('C:\Temp\1\leaotcpp.sys');
 DeleteFile('C:\WINNT\system32\drivers\rk_remover.sys');
 DeleteFileMask('C:\Temp','*.*',true);
 DeleteDirectory('C:\Temp');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
BC_DeleteSvc('rk_remover');
RebootWindows(true);
end.

После перезагрузки:

- Очистите темп-папки, кэш проводников и корзину.
- Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

[Alex_Goodwin]

TDSSRemover вызывает синий экран

Попробуйте еще раз, если повториться, то выложите лог ремувера.

[xvras]

... - Повторите в точности действия, описанные в пп.1 - 3 раздела правил Диагностика, новые логи прикрепите к новому сообщению.

сделано.

-Ремувер продолжает вызывать синий экран, просто дамп в памяти по такому то адресу. вызван rk_remover.sys.
Лог пустой, т.к. не успевает создаваться.

[AndreyKa]

Установите Service Pack 2 для Windows 2003 и последующие обновления.

[xvras]

Сервис пак в ближайшее время поставлю, логи повторю.

Пока после ремувера и АВЗ появилось следующее плюсом к вышеизложенной мной проблеме.

При подключении в течении 10-15 минут возникает критическая ошибка на файл lsass.exe и отчитывает 60 секунд на перезагрузку.

На всякий случай выкладываю свежие логи.

[AndreyKa]

Чисто.