Страница 1 из 2 12 Последняя
Показано с 1 по 20 из 31.

При загрузке компа вылезает подключение к инету? (заявка № 12233)

  1. #1
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61

    Thumbs up При загрузке компа вылезает подключение к инету?

    В sistem32 появились какие-то файлы начинающиеся с kb*.exe Что это? Посмотрите пожалуйста лог . Спасибо.
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для SuperBrat
    Регистрация
    09.08.2006
    Адрес
    РК
    Сообщений
    1,194
    Вес репутации
    602
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    O9 - Extra button: (no name) - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
    O9 - Extra 'Tools' menuitem: FUNNY SEXY PICTURES - {FFFFFFFF-ABBB-FFFF-FFFF-FFFFFFFFFFFF} - http://top.holm.ru/cgi-bin/link.cgi?l=book (file missing)
    O16 - DPF: {33331111-1111-1111-1111-611111193423} -
    O16 - DPF: {33331111-1111-1111-1111-615111193427} -
    O16 - DPF: {33331111-1131-1111-1111-611111193428} -
    O20 - Winlogon Notify: partnershipreg - C:\Documents and Settings\All Users\Документы\Settings\partnership.dll
    O21 - SSODL: SysRun - {D7FFD784-5276-42D1-887B-00267870A4C7} - C:\WINDOWS\system32\svshost.dll
    Опыт — это слово, которым люди называют свои ошибки.

  5. #4
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    Товариши! Посмтрите логи плз - все сделал по понятиям. Dr web-ом проверял кое-что удалил. Но копм в инете ужасно тормозит.

    [moderated! Карантин (virusinfo_cure.zip) нужно присылать в соответствии с приложением 3 правил.]
    Вложения Вложения
    Последний раз редактировалось Shu_b; 07.09.2007 в 14:21.

  6. #5
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('http://top.holm.ru/cgi-bin/link.cgi?l=book','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\erktjrt.dll','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
    QuarantineFile('\??\C:\WINDOWS\system32\nso12k.sys','');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys');
     BC_DeleteFile('system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
     BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_DeleteFile('http://top.holm.ru/cgi-bin/link.cgi?l=book');
     BC_DeleteSvc('runtime');
    BC_DeleteSvc('runtime2');
    BC_ImportAll;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки.
    Прислать карантин согласно приложения 3 правил .
    Сделать новые логи.
    Последний раз редактировалось PavelA; 07.09.2007 в 14:59. Причина: Thk Numb
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  7. #6
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\run time.sys');
    BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\run time2.sys');

    BC_DeleteSvc('runtime');
    BC_DeleteSvc('runtime2');

    Вот выше перечисленное они удялятся? runtime - это что за вещь. МНе кажется оно нужно.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    870
    Оно не нужно. Это - спамбот. Или, вернее, руткиты, его маскирующие.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,164
    Вес репутации
    994
    Владимир_Ильич, как сказала партия , так и выполнять лазутчики это .

  10. #9
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    Запуск скрипта привел к самопроизвольному рестарту системы!
    Цитата Сообщение от PavelA Посмотреть сообщение
    AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.

    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('http://top.holm.ru/cgi-bin/link.cgi?l=book','');
     QuarantineFile('C:\WINDOWS\system32\svshost.dll','');
     QuarantineFile('C:\WINDOWS\system32\ntos.exe','');
     QuarantineFile('C:\WINDOWS\system32\erktjrt.dll','');
     QuarantineFile('C:\WINDOWS\system32\cssrss.exe','');
     QuarantineFile('C:\WINDOWS\system32\KB_963491.exe','');
    QuarantineFile('\??\C:\WINDOWS\system32\nso12k.sys','');
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('\??\C:\WINDOWS\System32\drivers\runtime2.sys');
     BC_DeleteFile('system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     DeleteFile('C:\WINDOWS\system32\KB_963491.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
     BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_DeleteFile('http://top.holm.ru/cgi-bin/link.cgi?l=book');
     BC_DeleteSvc('runtime');
    BC_DeleteSvc('runtime2');
    BC_ImportAll;
    BC_Activate;
    ExecuteSysClean;
    RebootWindows(true);
    end.
    После перезагрузки.
    Прислать карантин согласно приложения 3 правил .
    Сделать новые логи.
    Теперь запуск стандартных скриптов невозможен по этой же причине - происходит рестарт

    Добавлено через 7 минут

    Причем ntos.exe как сидел в систем32 так и сидит
    Последний раз редактировалось Владимир_Ильич; 07.09.2007 в 15:43. Причина: Добавлено

  11. #10
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    'system32\drivers\ip6fw.sys' - я думаю из-за него.
    Сделай логи в Safe Mode.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  12. #11
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    Цитата Сообщение от PavelA Посмотреть сообщение
    'system32\drivers\ip6fw.sys' - я думаю из-за него.
    Сделай логи в Safe Mode.
    В сейф моде 8 пункт праил не получается - avz вылетает, а если запускать 8 пункт в обычном режиме вылезают ошибки - avz виснет(см. рисунки). Лог с 9 пунка правил. и 13 есть. Ужас че творится???
    Изображения Изображения
    Вложения Вложения

  13. #12
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
     BC_DeleteFile('C:\Documents and Settings\All Users\Документы\Settings\partnership.dll');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime.sys');
     BC_DeleteFile('C:\WINDOWS\System32\drivers\runtime2.sys');
     BC_DeleteFile('system32\drivers\ip6fw.sys');
     BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
     BC_DeleteFile('C:\WINDOWS\system32\cssrss.exe');
     BC_DeleteFile('C:\WINDOWS\system32\erktjrt.dll');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_DeleteFile('C:\WINDOWS\system32\svshost.dll');
     BC_DeleteSvc('runtime');
    BC_DeleteSvc('runtime2');
    BC_Activate;
    RebootWindows(true);
    end.
    Пофиксите в HijackThis:
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
    O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    O16 - DPF: {33331111-1111-1111-1111-611111193429} - http://www.www2.p0rt2.com/files/_ipsec_.cab
    O16 - DPF: {33331111-1234-1111-1111-615111193427} - http://www.www2.p0rt2.com/files/epl60bd.cab
    O21 - SSODL: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\erktjrt.dll (file missing)
    O22 - SharedTaskScheduler: DCOM Server 25319 - {2C1CD3D7-86AC-4068-93BC-A02304B25319} - C:\WINDOWS\system32\erktjrt.dll (file missing)
    Перезагрузитесь и сделайте новые логи.
    I am not young enough to know everything...

  14. #13
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    C:\hi_\infec\runtime2.sys - что за ерунда? Сами сохраняли или какая-то другая программа. Имя файла взял со скриншота
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  15. #14
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    Все по порядку.
    1. Runtime2 - кинул сам в директорию hi_ ...
    1а. имя файла "ошибка.gif" ? - сам
    2. Сделал как говорил в последний раз Bratez - получилось. gривожу логи. Может есть хвосты?
    3. Беспокоит ntos.exe - че за хрень не понятно?
    4. Подключение к инету после загрузки уже исчезло.
    Вложения Вложения

  16. #15
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_QrSvc('kprof');
     BC_QrSvc('poof');
     BC_QrSvc('smtpdrv');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387
    I am not young enough to know everything...

  17. #16
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2522
    Цитата Сообщение от Владимир_Ильич Посмотреть сообщение
    . Runtime2 - кинул сам в директорию hi_ ...
    Незаряженное ружье и то иногда стреляет. Файл этот в карантине AVZ должен лежать.

    "Восстановление системы" почему не отключено? Ведь восстановите и заново лечиться надо будет.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  18. #17
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_QrSvc('kprof');
     BC_QrSvc('poof');
     BC_QrSvc('smtpdrv');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387
    Выполнение стандартных скриптов привел снова к ошибке avz (см. рис выше) ???

  19. #18
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
     DeleteFile('C:\WINDOWS\system32\ntos.exe');
     BC_QrSvc('kprof');
     BC_QrSvc('poof');
     BC_QrSvc('smtpdrv');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки сделайте лог, как написано здесь:
    http://virusinfo.info/showthread.php?t=10387
    Выполнение стандартных скриптов привел снова к ошибке avz (см. рис выше) ???
    Првожу лог Bratez-у
    Вложения Вложения

  20. #19
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,298
    Вес репутации
    1578
    Выполните такой скрипт:
    Код:
    begin
     BC_QrSvc('kprof');
     BC_QrSvc('poof');
     BC_QrSvc('smtpdrv');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis (если останется):
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    и выполните еще один скрипт:
    Код:
    begin
    SearchRootkit(false, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
    RebootWindows(true);
    end.
    Затем снова сделайте "дополнительный лог" AVZ.
    I am not young enough to know everything...

  21. #20
    Junior Member Репутация
    Регистрация
    06.09.2007
    Сообщений
    35
    Вес репутации
    61
    Цитата Сообщение от Bratez Посмотреть сообщение
    Выполните такой скрипт:
    Код:
    begin
     BC_QrSvc('kprof');
     BC_QrSvc('poof');
     BC_QrSvc('smtpdrv');
     BC_DeleteSvc('kprof');
     BC_DeleteSvc('poof');
     BC_DeleteSvc('smtpdrv');
     BC_DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
     BC_DeleteFile('C:\WINDOWS\system32\kprof');
     BC_DeleteFile('C:\WINDOWS\system32\poof');
     BC_DeleteFile('C:\WINDOWS\system32\ntos.exe');
    ExecuteSysClean;
    ExecuteRepair(16);
    BC_Activate;
    RebootWindows(true);
    end.
    После перезагрузки пофиксите в HijackThis (если останется):
    Код:
    F2 - REG:system.ini: UserInit=C:\WINDOWS\SYSTEM32\Userinit.exe,C:\WINDOWS\system32\ntos.exe,
    O4 - HKCU\..\Run: [userinit] C:\WINDOWS\system32\ntos.exe
    и выполните еще один скрипт:
    Код:
    begin
    SearchRootkit(false, true);
    SetAVZGuardStatus(True);
     RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Services\Sal25', 'Start');
    RebootWindows(true);
    end.
    Затем снова сделайте "дополнительный лог" AVZ.
    Сделал. Что дальше?
    Вложения Вложения

  • Уважаемый(ая) Владимир_Ильич, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Страница 1 из 2 12 Последняя

    Похожие темы

    1. Ответов: 5
      Последнее сообщение: 23.10.2009, 14:19
    2. Ответов: 3
      Последнее сообщение: 29.09.2009, 03:52
    3. Ответов: 12
      Последнее сообщение: 11.03.2009, 15:08
    4. Зависает подключение к инету
      От apostol в разделе Помогите!
      Ответов: 5
      Последнее сообщение: 11.01.2009, 15:25
    5. Ответов: 5
      Последнее сообщение: 18.05.2007, 02:37

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00381 seconds with 20 queries