-
пропало подключение по локальой сети
Не отображается панель задач. Не работает функция "вставить" в проводнике, копировать работает. Не запускается в безопасном режиме. Загрузка рабочего стола идет после ctrl-alt-del. Отчаянно тормозит систеа. Не смотря на присутствие в диспетчере устройств "сетевой платы" в сетевых подключениях пусто в буквальном смысле слова пропало подключение по локальой сети, соответственно соединение отсутствует. Сие деяние произошло после установки патчей от Microsoft против Kido (Conficker) и смены антивируса с OfficeScan на NOD32 Smart Security
Последний раз редактировалось mrak74; 29.06.2010 в 11:59.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
- выполните в AVZ скрипт
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
StopService('iniphu');
StopService('zdqvsx');
StopService('ayyeuewzee6xx');
QuarantineFile('C:\WINDOWS\system32\01.tmp','');
QuarantineFile('C:\Documents and Settings\nvg-23\Application Data\Microsoft\hesinonnoo.exe','');
QuarantineFile('C:\WINDOWS\system32\CsimPlayer.exe','');
QuarantineFile('c:\documents and settings\networkservice\dgyt.exe','');
QuarantineFile('c:\windows\system32\svchost.exe:exe.exe','');
DeleteFile('C:\WINDOWS\system32\01.tmp');
DeleteFile('C:\Documents and Settings\nvg-23\Application Data\Microsoft\hesinonnoo.exe');
DeleteFile('C:\WINDOWS\system32\CsimPlayer.exe');
DeleteFile('c:\documents and settings\networkservice\dgyt.exe');
DeleteFile('c:\windows\system32\svchost.exe:exe.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run-','CsimPlayer');
DeleteService('iniphu');
DeleteService('zdqvsx');
DeleteService('ayyeuewzee6xx');
BC_ImportAll;
ExecuteSysClean;
ExecuteRepair(6);
ExecuteRepair(9);
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
ExecuteWizard('SCU', 2, 2, true);
ExecuteWizard('PRT', 2, 2, true);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
...после перезагрузки пришлите карантин, файл quarantine.zip, котрый находится в папке c AVZ, воспользовавшись ссылкой вверху темы - Прислать запрошенный карантин
#как вариант#(см. Приложение 3. правил)
P.S. а где лог HiJack ???
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Спасибо большое за оперативный ответ !!! Скрипт смогу выполнить только завтра, проблема на работе. По возможности выложу новые логи, к сожалению проблема с интернетом на работе. Еще раз спасибо за внимание !!! hijackthis воспользоваться не успел логи снял под конец рабочего дня требовалось освободить помещение
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
высылаю новые логи
жду вашего приговора
Файл сохранён как 100312_112249_Quarantine_4b99f9d9c82d1.zip
Размер файла 1672491
MD5 87680b1f3e1fe057f0b1ead8c7e32db5
Последний раз редактировалось mrak74; 29.06.2010 в 11:59.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Что-то страшное твориться и все из-за того что только SP2 стоит
Профиксить:
Код:
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe
O4 - HKLM\..\Run: [hupouwi] C:\WINDOWS\system32\camypom.exe
O4 - HKLM\..\Run: [tife] C:\WINDOWS\system32\hooginneh.exe
O4 - HKCU\..\Run: [hupouwi] C:\Documents and Settings\nvg-23\Application Data\Microsoft\camypom.exe
O4 - HKCU\..\Run: [tife] C:\Documents and Settings\nvg-23\Application Data\Microsoft\hooginneh.exe
O4 - HKUS\S-1-5-21-1801674531-562591055-839522115-3550\..\Run: [hupouwi] C:\Documents and Settings\nvg-23\Application Data\Microsoft\camypom.exe (User '?')
O4 - HKUS\S-1-5-21-1801674531-562591055-839522115-3550\..\Run: [tife] C:\Documents and Settings\nvg-23\Application Data\Microsoft\hooginneh.exe (User '?')
Выполнить скрипт:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('G:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\drivers\cdrom.sys','');
QuarantineFile('C:\WINDOWS\system32\camypom.exe','');
QuarantineFile('C:\WINDOWS\System32\Drivers\neylzuxt.sys','');
QuarantineFile('C:\Documents and Settings\nvg-23\Application Data\Microsoft\pyzoosy.exe','');
QuarantineFile('C:\Documents and Settings\nvg-23\Application Data\Microsoft\tavaruhiw.exe','');
DeleteService('quuizfog6mnl');
DeleteService('peioorge');
QuarantineFile('C:\WINDOWS\system32\svchost.exe','');
QuarantineFile('C:\WINDOWS\system32\Drivers\neylzuxt.sys','');
QuarantineFile('c:\documents and settings\nvg-23\application data\microsoft\camypom.exe','');
DeleteFile('c:\documents and settings\nvg-23\application data\microsoft\camypom.exe');
DeleteFile('C:\WINDOWS\system32\Drivers\neylzuxt.sys');
DeleteFile('C:\Documents and Settings\nvg-23\Application Data\Microsoft\tavaruhiw.exe');
DeleteFile('C:\Documents and Settings\nvg-23\Application Data\Microsoft\pyzoosy.exe');
DeleteFile('C:\WINDOWS\System32\Drivers\neylzuxt.sys');
DeleteFile('C:\WINDOWS\system32\camypom.exe');
DeleteFile('C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP28\A0009571.exe');
DeleteFile('C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP28\A0009574.sys');
DeleteFile('C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP28\A0009575.sys');
DeleteFile('C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP28\A0015819.exe');
DeleteFile('C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP28\A0034680.exe');
DeleteFile('C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP28\A0035183.exe');
DeleteFile('C:\System Volume Information\_restore{142442FF-B34A-4F6B-BE36-F9BFB500F8E0}\RP28\A0035193.sys');
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Логи повторить.
Прислать карантин по Правилам.
Последний раз редактировалось PavelA; 12.03.2010 в 12:31.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
Спасибо вам огромное !!! К сожалению сегодня логи выслать не смогу отзывают по работе в другое место. По возможности постараюсь выслать логи если не получиться. тему закрою (переустановка...) Еще раз спасибо
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Если прочтете: Очень странное поведение системы. Нет нормального запуска
служб, связанных с svchost.exe
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
-
-
HiJack не запустился соответственно пофиксить в нем не смог. Скрипт в AVZ выполнил. Система загрузилась побыстрее, по прежнему не работала функция проводника вставить и по прежнему не было сетевого подключения. Пытался накатить SP 3 в процессе распаковки установочного файла Windows выдало сообщение о не возможности проверки цифровой подписи данного файла и распаковка прекратилась. Исходя из ответа PavelA "Нет нормального запуска
служб, связанных с svchost.exe". Система пере установлена. Спасибо еще раз Alex Plutoff и PavelA за попытку спасти Windows бескровным путём
Добавлено через 47 секунд
Тему закрываем
Последний раз редактировалось mrak74; 13.03.2010 в 23:16.
Причина: Добавлено
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
- не думаю, что прям так сразу следовало поступать столь радикально... сначала следовало бы проверить и заменить исходными версиями системные файлы, т.е. Пуск > Выполнить > набрать sfc.exe /scannow > Enter
...ну, и только потом, если не будет получено ожидаемого результата, прибегнуть к переустановке ОС
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Редко помогает sfc /scannow, хотя, возможно это и был тот случай, к сожалению время поджимало, компьютер служебный, и к тому же не мой. Очень ценной информации и программ достойных спасения на нем не было. Если бы была возможность к нему удаленно подключаться (увы сеть не работает) я бы с ним подождал, а так с одного конца города на другой ради одного ПК не наездишся.
P.S. пробовал сбрасывать реестр путем отката на различные точки восстановления, вплоть до момента установки. Увы не помогло. Первый случай у меня, что данный вариант не помогает.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Вновь столкнулся с подобной проблемой. Симптомы пропадает сеть, звук, на панели задач не отображаются запущенные приложения, не работает кнопка вставить и создать ярлык. К сожалению в карантин зараженный svchost взять не смог (не хватило знаний, увы ) Помогло копирование svchost с другой не зараженной машины, через FAR.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
- на Вашем ПК всё ещё WinXP SP2 используется?
...в таком случае вам постоянный гемор обеспечен, а там, со временем, глядишь и знаний, и опыта поднаберётесь и таки поймёте, что значительно легче ОС содержать в актуальном состоянии, регулярно посещая Windows Update или включив Автоматическое обновление, чем постоянно выковыривать разную заразу, проникающую через неприкрытые дыры в системе!!!
Последний раз редактировалось Alex Plutoff; 05.04.2010 в 17:12.
С уважением,
Alex Plutoff
А. ПЛАТОВ
-
-
Я люблю сталкиватся с проблемами и решать их, я думаю есть такие же люди которые сталкиваются с казалось бы неразрешимой проблемой, а потом все таки её решают, при этом получая удовольствие от очередной победы над компьютером. Но не настолько чтобы не понимать важность обновлений Windows, если есть возможность всегда их ставлю. Есть тут одна загвоздочка, компьютеры не личные и их очень много, очень !!! А WSUS к сожалению не работает, лишнее ярмо на шею (ответственность) за те деньги что получаем никто брать не хочет и я тоже... Кстати логов новых я не прикладывал так что SP2 в логах так и осталась тот же, а победа была над новым с теми же симптомами, вот только решение проблемы наконец нашлось. Не будет теперь удовольствия от лечения ПК со схожими симптомами по той же технологии. неинтересно. Радует что будут еще проблемы в будующем, да еще какие, есть раздолье для работы мозга. Люблю головоломки и побеждать.
Спасибо хэлперам за вашу работу !!! Многому от вас научился.
Последний раз редактировалось mrak74; 05.04.2010 в 23:45.
Причина: P.S.
Virusinfo - за чистый Интернет.
Делай добро и бросай его в воду.
-
-
Итог лечения
Статистика проведенного лечения:
- Получено карантинов: 1
- Обработано файлов: 11
- В ходе лечения обнаружены вредоносные программы:
- c:\documents and settings\nvg-23\application data\microsoft\hesinonnoo.exe - Trojan-Dropper.Win32.Agent.btdv ( BitDefender: Trojan.Agent.AOEF, AVAST4: Win32:Agent-AISC [Trj] )
- c:\system volume information\_restore{142442ff-b34a-4f6b-be36-f9bfb500f8e0}\rp28\a0009571.exe - Trojan.Win32.Agent.deho ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Inject.WA, NOD32: Win32/Agent.OSE trojan, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{142442ff-b34a-4f6b-be36-f9bfb500f8e0}\rp28\a0009574.sys - Rootkit.Win32.Agent.aaew ( DrWEB: BackDoor.Bulknet.448, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.F virus, AVAST4: Win32:Cutwail-Y [Rtk] )
- c:\system volume information\_restore{142442ff-b34a-4f6b-be36-f9bfb500f8e0}\rp28\a0009575.sys - Rootkit.Win32.Agent.aaew ( DrWEB: BackDoor.Bulknet.448, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.F virus, AVAST4: Win32:Cutwail-Y [Rtk] )
- c:\system volume information\_restore{142442ff-b34a-4f6b-be36-f9bfb500f8e0}\rp28\a0015819.exe - Trojan.Win32.Agent.deho ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Inject.WA, NOD32: Win32/Agent.OSE trojan, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{142442ff-b34a-4f6b-be36-f9bfb500f8e0}\rp28\a0034680.exe - Trojan.Win32.Agent.deho ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Inject.WA, NOD32: Win32/Agent.OSE trojan, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{142442ff-b34a-4f6b-be36-f9bfb500f8e0}\rp28\a0035183.exe - Trojan.Win32.Agent.deho ( DrWEB: BackDoor.Tofsee, BitDefender: Trojan.Inject.WA, NOD32: Win32/Agent.OSE trojan, AVAST4: Win32:Malware-gen )
- c:\system volume information\_restore{142442ff-b34a-4f6b-be36-f9bfb500f8e0}\rp28\a0035193.sys - Rootkit.Win32.Agent.aaew ( DrWEB: BackDoor.Bulknet.448, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.F virus, AVAST4: Win32:Cutwail-Y [Rtk] )
- c:\windows\system32\drivers\cdrom.sys - Rootkit.Win32.Agent.aaew ( DrWEB: BackDoor.Bulknet.448, BitDefender: Rootkit.Kobcka.Patched.Gen, NOD32: Win32/Protector.F virus, AVAST4: Win32:Cutwail-Y [Rtk] )
-