Здравствуйте.
Помогите пожалуйста разобраться с вирусом частично заблокировавшим интернет.
Вобщем суть проблемы такова:За компьютером в интернете сидел брат,что он там делал мне не известно,но после его "посиделок" перестали открываться сайты(интернет подключается нормально,adsl,настроен мостом),при этом интернет радио работает штатно,также есть полный доступ в интернет с нормальным открытием сайтов с виртуальной машины находящейся на заражённой системе.
Также я решил проверить файл hosts на наличие модификаций,он оказался пуст,после чего добавил в него информацию из рабочего хостс файла виртуальной машины,результат оказался нулевой,также я попробовал в заражённой системе ввести вместо веб адресов ip адреса,сайты стали открываться но с сильными тормозами.
Система проверялась DrWeb(стоит этот антивирус)и Virus Removal Tool,последним были найдены некоторые вредоностные объекты, но их уничтожение не помогло...
Спасибо.
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Обновил базы в полу ручном режиме(из под виртуалки так как в рабочей оси не работает обновление).
Прикрепляю новые логи.Могу прикрепить также cure лог,если это необходимо.
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll','');
DeleteFile('C:\Documents and Settings\All Users\Application Data\Real\RealPlayer\BrowserRecordPlugin\Chrome\Hook\rpchromebrowserrecordhelper.dll');
BC_ImportAll;
ExecuteSysClean;
Executerepair(6);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
ExecuteWizard('TSW', 2, 2, true);
BC_Activate;
RebootWindows(true);
end.
закачайте карантин по ссылке Прислать запрошенный карантин в шапке Вашей темы (Приложение 3 правил).
Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
Выкладываю свежие логи.
Что то я преждевременно обрадывался опять страницы перестали открываться,qip пока вроде работает(до этого не работал). Всё qip тоже сдох после того как я систему ребутнул....
Последний раз редактировалось ussr1990; 14.04.2010 в 21:03.
Сделал.
Хочу отметить что на компьютере уже давно установлена утилита trojan remover с автозапуском,она со вчерашего дня в быстром сканировании(при старте системы проверяется)стала ругаться на руткиты.
В этом режиме нельзя нечего с ними сделать,это можно лишь в полном сканировании,а лицензия закончилась...
Запускал также утилиту gmer, она находила в быстрой проверке один файл(один раз из 2-х вроде как),затем при полной проверке намертво вешала систему,как бы блокировала explorer,тоесть пропадал рабочий стол.
В общем прикладываю скрины от троян ремувера на всякий случай.
Карантин загружен:Файл сохранён как 100415_173546_virus_4bc71632edab2.zip
Размер файла 635
MD5 0eb629568ac8babce36df5f05a45321c
Пришлите файлы, на которые "ругается" утилита trojan remover
Как правильно искать и присылать, см. здесь--http://virusinfo.info/showthread.php?t=4567
Затем сделайте лог Gmer. Кода будете делать лог, закройте/выгрузите все программы кроме Gmer, отключите:
- ПК от интернета/локалки;
- антивирус и файрволл;
- USB-модем, блютус и т.п.
1ый из файлов вообще не находит,2 ой находит но в карантин не хочет добавлять почему то... Сейчас буду пытаться делать логи Gmer.
Добавлено через 3 часа 21 минуту
В общем в очередной раз Gmer глюканул(часа 2 мутузил комп и на тебе),и что самое смешное в конце проверки при сохранении лог файла он тупо закрылся и повесил систему...
Также ещё бросилось в глаза то что я вместе с интернетом и выгрузкой антивируса и брэндмауэра при проверке gmer вырубил подключение по локальной сети,троян ремувер нечего не нащёл,потом после глюка gmer и перезапуска включил сеть опять выскочил зверь что на 2 скрине и попёрла загрузка какая то со скростью 1 килобайт в секунду гдето 300-400 килобайт скачалось при том что интернет как бы неработает для ПО, кроме радио(мб правдо чтото есчо работает но маловероятно).
В браузерах картина всё таже ,при открытие страниц ошибка,по ip адресу открывается с тормозами как будто идёт через китайский перегруженный прокси со скоростью эдак килобит 16 и то местами...
Я разобрался,на 2 скрине доктор вебовский файл(хз почму он сейчас только стал на него ругаться),а файла что на 1 скрине был нету больше,пропал...
Что дальше делать,мб. стоит провериться с лайф сиди или ещё есть какие способы?
Последний раз редактировалось ussr1990; 16.04.2010 в 07:52.
Причина: Добавлено
mbam кстати обнаружил остатки от прежней инфекции:
Объекты реестра заражены:
HKEY_CLASSES_ROOT\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\shell\OpenHomePage\Command\(default) (Hijack.HomePage) -> Bad: ("C:\Program Files\Internet Explorer\IEXPLORE.EXE" http://www.wz157.cn) Good: (iexplore.exe) -> No action taken. (вирусняк тогда в параметрах ярлыков у некотрых из браузеров,не всех установил в параметрах запуска сайт http://www.wz157.cn,тогда тупо ручками эту бяку пофиксил(в мозиле, а в эксплорере пересоздал ярлык) и доктор вебом систему отсканил думал всё, ибо не беспокоило оно меня,а тут не всё значит...
Хм я вроде как нашёл причину, это брандмауэр Outpost Firewall Pro ,при его выгрузке интернет работает полностью с ним нет. До этого работал года с год полтора нормально он,уже с пол года в нём нечё не настраивалось не менялось,только обновления были и всё поэтому ума не приложу из-за чего это может быть.
Сносить его или мб дело не в нём всё таки(может быть стоит отписать им в техподдержку)?
Последний раз редактировалось ussr1990; 16.04.2010 в 17:46.
Всё также,выключаю Outpost и пользуюсь интернетом,видимо в нём какой то глюк,напишу им в саппорт пускай рабираются или снесу/переустановлю...
Ещё раз Спасибо.
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: