Процес System 32/svchost.exe пытается внедриться в System32/winlogon.exe

[Bonik]

Здравствуйте! Месяц назад начал пользоваться мобильным интернетом МТС-коннект(в Украине). Недели через 2 интернет начал отключаться, попытка нового соединения заканчивалась сообщением "Соединение невозможно так как устройство занято другим приложением или не настроено." Звуковое устройство тоже отключается. Помогает только перезагрузка. В разное время опять отключается по разному, через 5 минут - 2 часа. Симптомы: Отключение интернета, белеет иконка используемого языка, потом становится белой вся панель задач, выскакивает сообщение от Касперского "Процес System 32/svchost.exe пытается внедриться в System32/winlogon.exe" , процес запрещаю, всё становиться нормального цвета, только область уведомлений панели задач размещается в два ряда. Интернет всё равно не подключается. Если не подключаться к интернету этой проблемы не существует. В чём проблема?

[PavelA]

Видны остатки спам-бота:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('WinNt32.dll');
ExecuteSysClean;
BC_ImportDeletedList;
BC_Activate;
end.

Плюс ice_time.dll можно попробовать внести в доверенные для Каскперского.

[Bonik]

Не помогло. Интернет проработал час.

[Rene-gad]

Не помогло. Интернет проработал час.

Логи повторите, плиз.

[kps]

Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Documents and Settings\1\Local Settings\Temp\tmp12C.tmp','');
QuarantineFile('ice_time.dll','');
DelWinlogonNotifyByKeyName('WinNt32');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Пришлите карантин согласно приложению №3 правил (загружать здесь: http://virusinfo.info/upload_virus.php?tid=24675 ).

[Bonik]

Выполнил второй скрипт. Всё проверил по-новой. Повторяю логи.

[kps]

Это Вам знакомо?

Код:

O17 - HKLM\System\CCS\Services\Tcpip\..\{2074DCC9-600A-438E-B24B-34EAE121E882}: NameServer = 80.255.64.23 80.255.64.24
O17 - HKLM\System\CS1\Services\Tcpip\..\{2074DCC9-600A-438E-B24B-34EAE121E882}: NameServer = 80.255.64.23 80.255.64.24
O17 - HKLM\System\CS2\Services\Tcpip\..\{2074DCC9-600A-438E-B24B-34EAE121E882}: NameServer = 80.255.64.23 80.255.64.24

если незнакомо, то пофиксите в HijackThis эти строчки.

[Bonik]

Этих строчек там две. Пофиксил - очень упала скорость инета, почти не грузился. Вернул всё обратно.

[Rene-gad]

Пофиксил

Так Вам же сказали - фиксить, если не знаете, что это. Если UMC - Ваш провайдер или Вы через мобилку в Интернет ходите, то эти строчки фиксить не нужно.
Повторите логи. Если Вы будете с запаздыванием в 5 дней реагировать, то придется делать новые логи каждый раз

[Bonik]

Повторяю логи

[Bonik]

Ну так как , получиться что-то исправить?

[V_Bond]

в логах ничего подозрительного ... исправлять ничего не нужно кроме ...
срочно установить фаеролл и сп 3 ...

[Bonik]

Подскажите пожалуйста что такое фаеролл и сп-3, и где их взять

[Rene-gad]

Подскажите пожалуйста что такое фаеролл и сп-3, и где их взять

SP3- скачать по одной из ссылок в моей подписи.
Файрвол/Брандмауер/Сетевой экран - имеется в Виндовс собственный, можно установить сторонний, при этом Виндовсовский отключить.
Смотрите в форуме - есть примерно 200 тем по файрволлам и их настройкам.

[Bonik]

Спасибо большое Всем, сейчас попробую.

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 5
• В ходе лечения вредоносные программы в карантинах не обнаружены