Показано с 1 по 16 из 16.

Проблемы после подключения к инету. (заявка № 107840)

  1. #1
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50

    Thumbs down Проблемы после подключения к инету.

    Доброго времени суток.

    Ребята посмотрите плиз логи. После подключени к инету и загрузки через оперу сайта "вконтакте" начинаются проблемы, появляется файл
    tcpwamllib.exe а так же он запускается. Меняются ДНС адреса на:
    8.8.8.8
    8.8.4.4

    Проверялся в безопастном режиме вебом, но он ничего не находит. Переодически в папке C:\Windows\system32 появляются папки типа "i740" (буква i и трехзначное число) туда закачиваются файлы D001.exe но с ними удачно борется НОД.

    Жду помощи. Заранее спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Cyber Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Info_bot
    Регистрация
    11.05.2011
    Сообщений
    2,287
    Вес репутации
    378
    Уважаемый(ая) Михаил_83, спасибо за обращение на наш форум!

    Помощь в лечении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос.

    Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

  4. #3
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Здравствуйте!!!

    - Выполните в АВЗ:
    Код:
    procedure FixUpdate;
    var j:integer; NumStr:string;
    begin
    for j:=0 to 999 do
     begin
        if j=0 then
            NumStr:='CurrentControlSet' else 
            if j<10 then
                NumStr:='ControlSet00'+IntToStr(j) else
                if j<100 then
                    NumStr:='ControlSet0'+IntToStr(j) else
                    NumStr:='ControlSet'+IntToStr(j);
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS') then
      begin
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\BITS', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\BITS исправлено на оригинальное.');
      end;
     if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
      begin 
      RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
      RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
      AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
      end;
     end;
    end;
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     TerminateProcessByName('c:\windows\system32\tcpwamllib.exe');
     SetServiceStart('WamlSvc', 4);
     StopService('WamlSvc');
     QuarantineFile('C:\Documents and Settings\Admin\Application Data\Acowik\egse.exe','');
     QuarantineFile('c:\windows\system32\tcpwamllib.exe','');
     DeleteFile('c:\windows\system32\tcpwamllib.exe');
     DeleteFile('C:\Documents and Settings\Admin\Application Data\Acowik\egse.exe');
     FixUpdate;
     RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run-','{8FCA1CFC-9128-42C6-E073-8379D1ED074C}');
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1201', 3);
     RegKeyIntParamWrite('HKCU', 'Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\', '1004', 3);
     DeleteService('WamlSvc');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('WamlSvc');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    - Обновите базы АВЗ (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи.

    - Сделайте лог полного сканирования MBAM.

  5. Это понравилось:


  6. #4
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Карантин выслал

    Новые логи
    Вложения Вложения

  7. #5
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Если ip адреса Вам не знакомы то пофиксите:
    - Пофиксите в HijackThis:
    Код:
    O17 - HKLM\System\CCS\Services\Tcpip\..\{3A5F3619-C92A-41FA-93A4-77F4FC61F2DD}: NameServer = 8.8.8.8,8.8.4.4
    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\8PMKKX64\A22[1].exe','');
     QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\FCMQPPZB\A22[1].exe','');
     QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[2].exe','');
     QuarantineFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[3].exe','');
     QuarantineFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8PMKKX64\nb_server[1].exe','');
     QuarantineFile('C:\WINDOWS\system32\tAScxIPZ.exe','');
     QuarantineFile('C:\Program Files\dyvboa.exe','');
     QuarantineFile('C:\Program Files\qyiosa.exe','');
     DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\8PMKKX64\A22[1].exe');
     DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\FCMQPPZB\A22[1].exe');
     DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[2].exe');
     DeleteFile('c:\documents and settings\localservice\local settings\temporary internet files\Content.IE5\NOAXFUGS\A22[3].exe');
     DeleteFile('c:\documents and settings\networkservice\local settings\temporary internet files\Content.IE5\8PMKKX64\nb_server[1].exe');
     DeleteFile('C:\Program Files\qyiosa.exe');
     DeleteFile('C:\Program Files\dyvboa.exe');
     DeleteFile('C:\WINDOWS\system32\tAScxIPZ.exe');
     RegKeyParamDel('HKEY_CURRENT_USER','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\ForceClassicControlPanel','ForceClassicControlPanel');
     RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\netsvcs_0x0');
     DeleteService('PnbPBHur');
     DeleteService('MSUpdqtesqi');
     DeleteService('MSUpdqtecko');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('MSUpdqtecko');
     BC_DeleteSvc('MSUpdqtesqi');
     BC_DeleteSvc('PnbPBHur');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Выполните в АВЗ скрипт отсюда http://safezone.cc/forum/showthread.php?t=9188

    - Повторите логи.

  8. Это понравилось:


  9. #6
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Карантин отправил.

    ДНСы поравил

    Все скрипты выполнил. Прикреляю новые логи.
    Вложения Вложения

  10. #7
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Что с проблемами?
    Установите все доступные обновления для Windows

  11. #8
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Цитата Сообщение от Techno Посмотреть сообщение
    Что с проблемами?
    Похоже что устранены. Процесс этот не появляется, ДНСы не меняются.

    Спасибо за помощь!
    Последний раз редактировалось Михаил_83; 25.08.2011 в 00:06.

  12. #9
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Опять появлись теже симптомы. Опять этот процесс tcpwamllib.exe Опять ДНСы меняются. И ошибка svchost вылазит переодически
    Вложения Вложения

  13. #10
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Повторите логи АВЗ, hijackthis и MBAM

    Цитата Сообщение от Techno Посмотреть сообщение
    Установите все доступные обновления для Windows
    Это сделали?

  14. #11
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Повторённые логи АВЗ,hijackthis в предыдущем сообщении. MBAM добавлю.

    По обновлениям виндовс есть небольшие трудности связанные с отключением и выкочёвыванием службы обновления. Если Вам известно какое именно нужно установить обновление, сообщите пожалуйста. Я же могу написать список установленных.

  15. #12
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Повторно выполнил http://safezone.cc/forum/showthread.php?t=9188 этот скрипт
    Почистил папку c:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\
    Было куча закаченных exe файлов, возможно они будут в логах
    Почистил папку c:\WINDOWS\system32\ удалил новые exe файлу появившиеся за прошедший период.

    ЛОГ MBAM
    Вложения Вложения

  16. #13
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Techno
    Регистрация
    25.08.2009
    Адрес
    Россия
    Сообщений
    10,965
    Вес репутации
    406
    Здравствуйте!!!

    - Выполните в АВЗ:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     ClearQuarantine;
     QuarantineFile('C:\WINDOWS\5_Ss.dll','');
     QuarantineFile('C:\WINDOWS\50875171_s.dll','');
     QuarantineFile('C:\WINDOWS\50872906_s.dll','');
     QuarantineFile('C:\WINDOWS\50001015_s.dll','');
     QuarantineFile('C:\WINDOWS\49994156_s.dll','');
     QuarantineFile('C:\WINDOWS\system32\Wib8001.exe','');
     QuarantineFile('C:\WINDOWS\system32\tcpwamllib.exe','');
     DeleteFile('C:\WINDOWS\system32\tcpwamllib.exe');
     DeleteFile('C:\WINDOWS\system32\Wib8001.exe');
     DeleteFile('C:\WINDOWS\49994156_s.dll');
     DeleteFile('C:\WINDOWS\50001015_s.dll');
     DeleteFile('C:\WINDOWS\50872906_s.dll');
     DeleteFile('C:\WINDOWS\50875171_s.dll');
     DeleteFile('C:\WINDOWS\5_Ss.dll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex10\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nex14\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\x17\Parameters','ServiceDll');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\nexnex0\Parameters','ServiceDll');
     RegKeyDel('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\krnlsrvc');
     DeleteService('WinHeb8001');
     DeleteService('WamlSvc');
    BC_ImportAll;
    ExecuteSysClean;
     BC_DeleteSvc('WamlSvc');
     BC_DeleteSvc('WinHeb8001');
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится

    После перезагрузки:
    - Выполните в АВЗ:
    Код:
    begin
     CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); 
    end.
    Файл quarantine.zip из папки AVZ загрузите по ссылке "Прислать запрошенный карантин" вверху темы.

    Это Ваше?
    Код:
    d:\aw\_AW\Юзалка\useon_13_05_2011\UseOn.exe
    c:\program files\magicrecovery pro demo
    Попробуйте установить все обновления.

    Протокол антивирусной утилиты AVZ версии 4.34
    Актуальная версия 4.35. Скачайте, Обновите базы (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи.

  17. #14
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Карантин пустой. Частично то что было в скрипте удалил ранее сам.

    Цитата Сообщение от Techno Посмотреть сообщение
    Это Ваше?
    Код:
    d:\aw\_AW\Юзалка\useon_13_05_2011\UseOn.exe
    c:\program files\magicrecovery pro demo
    Первое моё-нужно
    Второе удалил.
    Цитата Сообщение от Techno Посмотреть сообщение
    Попробуйте установить все обновления.
    Не получается потому что со службой обновления есть проблемы, она просто не работает
    Цитата Сообщение от Techno Посмотреть сообщение
    Актуальная версия 4.35. Скачайте, Обновите базы (АВЗ -> меню "Файл" -> "Обновление баз" -> "Пуск") и Повторите логи.
    Неполучается удалить старые файлы во вложениях. Поэтому лог только один. На остальное нет места во вложениях. Подскажите как старое по удалять.
    Вложения Вложения

  18. #15
    Junior Member Репутация
    Регистрация
    06.10.2010
    Сообщений
    79
    Вес репутации
    50
    Перустановил операцонную систему,обновил её. Тему думаю можно закрыть. Спасибо за помощь.

  19. #16
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,233
    Вес репутации
    977

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 5
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\fcmqppzb\\a22[1].exe - Trojan.Win32.Eckut.ei ( DrWEB: Trojan.MulDrop1.64025, BitDefender: Gen:Variant.Barys.1406, AVAST4: Win32:Malware-gen )
      2. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\noaxfugs\\a22[2].exe - Trojan.Win32.Eckut.ei ( DrWEB: Trojan.MulDrop1.64025, BitDefender: Gen:Variant.Barys.1406, AVAST4: Win32:Malware-gen )
      3. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\noaxfugs\\a22[3].exe - Trojan.Win32.Eckut.ei ( DrWEB: Trojan.MulDrop1.64025, BitDefender: Gen:Variant.Barys.1406, AVAST4: Win32:Malware-gen )
      4. c:\\documents and settings\\localservice\\local settings\\temporary internet files\\content.ie5\\8pmkkx64\\a22[1].exe - Trojan.Win32.Eckut.ei ( DrWEB: Trojan.MulDrop1.64025, BitDefender: Gen:Variant.Barys.1406, AVAST4: Win32:Malware-gen )
      5. c:\\windows\\system32\\tcpwamllib.exe - Worm.Win32.Agent.agp ( DrWEB: Win32.HLLW.Siggen.1720, BitDefender: Trojan.Generic.7344411, AVAST4: Win32:Hupigon-OZJ [Trj] )


  • Уважаемый(ая) Михаил_83, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 16
      Последнее сообщение: 27.06.2010, 09:21
    2. После лечения нет подключения к инету
      От Сергей Ю. в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 31.12.2009, 09:18
    3. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:54
    4. Ответов: 0
      Последнее сообщение: 01.11.2009, 13:54
    5. стандартная программа подключения к инету
      От Михаил в разделе Софт - общий
      Ответов: 6
      Последнее сообщение: 05.12.2006, 17:34

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01554 seconds with 20 queries