Показано с 1 по 11 из 11.

Постоянно обрубается инет (заявка № 76837)

  1. #1
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    33

    Exclamation Постоянно обрубается инет

    Сабж. Вирус, по ходу, тот же самый, который был тут: http://virusinfo.info/showthread.php?t=75010

    Один в один. Как от этого избавиться? Где-то в похожем случае на этом же форуме посоветовали поставить свежий IE.

    В общем, вирус ведет себя так:
    Сначала файлы вируса есть в папках
    %система
    %система\system32
    %корень\Documents and Settings\юзер\Local Settings\Temp
    %корень\RECYCLER\S-1-5-21-*КУЧА ПРОИЗВОЛЬНЫХ ЦИФР*

    так же в автозапуске создаются ключи на файл в последней указанной папке, и на 2 файла в %система\system32 - ndll.exe и cidrive32.exe

    Пытаюсь сделать что-нибудь сам.
    Сначала выпиливаю запущенные левые процессы. Потом все левые файлы в этих папках. Запускаю скрипт на удаление из автозапуска ключа на файл в последней указанной папке (все та же злосчастная recycler) и через менеджер удаляю ndll.exe, cidrive32.exe и m*не_помню_что*.exe/dll. Пытаюсь пофиксить подмену диспетчера-фиксится и на следующей проверке сразу появляется. Что говорит что зараза где-то скрывается. Хотя подозрительных новых процессов в памяти нет.
    Иногда успеваю заметить как на несколько секунд в память сам собой залезает процесс с_рандомным_именем.exe (всегда 2-3 цифры) и через несколько секунд все прочие левые файлы и ключи заново появляются в указанных папках. Чесно говоря, я просто задолбался!

    Похожие случаи есть. И во всех случаях эта штука появляется вновь и вновь.

    Так же заметил что cidrive32.exe активна в сети-куча открытых соединений по адресам 172.************ microsoft-ds
    Это негодяй пытается размножится через локалку?

    Есть ли способ от его себя обезопасить? И не вернется ли он ко мне обратно через локалку?

    Сначала сделал обычные логи, затем combofix.

    Спасибо.
    Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.

  2. Реклама
     

  3. #2
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Учитывая, что ComboFix был последним, после его работы изменения в лучшую сторону есть?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  4. #3
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    33
    Нет. Все вирусы на месте. Этот "процесс с_рандомным_именем.exe (всегда 2-3 цифры)" всегда создает несколько своих копий (тоже с произвольным именем) и "главные" файлы

    Добавлено через 6 минут

    Я так понимаю, что авз фиксит не все. Нужно фиксить одновременно авз и комбофиксом. Но обе программы перезагружают систему. А после перезагрузки все вирусы опять создаются заново.
    Последний раз редактировалось nismoxid; 23.04.2010 в 11:04. Причина: Добавлено

  5. #4
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Еще раз логи AVZ сделайте
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  6. #5
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    33
    done.
    Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.

  7. #6
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Выполните скрипт в AVZ
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    TerminateProcessByName('c:\windows\cidrive32.exe');
     TerminateProcessByName('c:\docume~1\c13af~1.fou\locals~1\temp\910.exe');
     TerminateProcessByName('c:\docume~1\c13af~1.fou\locals~1\temp\790.exe');
     QuarantineFile('C:\WINDOWS\system32\57.exe','');
     QuarantineFile('C:\WINDOWS\system32\21.exe','');
     QuarantineFile('C:\WINDOWS\system32\msvmcls64.exe','');
     QuarantineFile('C:\WINDOWS\ndll.exe','');
     QuarantineFile('C:\RECYCLER\S-1-5-21-6798829874-2119726294-976464518-8249\syscr.exe','');
     QuarantineFile('c:\docume~1\c13af~1.fou\locals~1\temp\910.exe','');
     QuarantineFile('c:\windows\cidrive32.exe','');
     QuarantineFile('c:\docume~1\c13af~1.fou\locals~1\temp\790.exe','');
     DeleteFile('c:\docume~1\c13af~1.fou\locals~1\temp\790.exe');
     DeleteFile('c:\docume~1\c13af~1.fou\locals~1\temp\910.exe');
     DeleteFile('c:\windows\cidrive32.exe');
     DeleteFile('C:\RECYCLER\S-1-5-21-6798829874-2119726294-976464518-8249\syscr.exe');
     DeleteFile('C:\WINDOWS\ndll.exe');
     DeleteFile('C:\WINDOWS\system32\msvmcls64.exe');
     DeleteFile('C:\WINDOWS\system32\21.exe');
     DeleteFile('C:\WINDOWS\system32\57.exe');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','oo');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');
     RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');
    RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
    RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
    BC_ImportAll;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    Компьютер перезагрузится.

    Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темы

    Сделайте новые логи + лог ComboFix
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  8. #7
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    33
    Карантин прислал.
    Логи прикрепляю.

    А вы знаете, что это за вирусы такие? Такое ощущение, что они написаны на бэйсике шестом, т.к. иконки у всех вирусов этих точь в точь такие как бэйсик прилепляет по умолчанию к любому скомпилированному exe'шнику.
    Последний раз редактировалось nismoxid; 19.05.2010 в 00:19.

  9. #8
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Логи AVZ не переделывали? Что сейчас с проблемой?
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  10. #9
    Junior Member Репутация
    Регистрация
    17.02.2008
    Адрес
    SPb
    Сообщений
    78
    Вес репутации
    33
    Простите. Запутался. Вот новые логи авз. hijack и combofix новые в прошлом сообщении.

    Проблемы на первый взгляд нет.

    Нужно ли устанавливать новый IE?

    http://ifolder.ru/17425051
    http://ifolder.ru/17425059
    Последний раз редактировалось nismoxid; 23.04.2010 в 19:51.

  11. #10
    Странствующий хэлпер Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для thyrex
    Регистрация
    07.03.2009
    Адрес
    Soligorsk, Belarus
    Сообщений
    90,523
    Вес репутации
    2915
    Не видно ничего плохого

    Папку C:\Qoobox скопируйте, пожалуйста, на другой диск, запакуйте ее с паролем virus и пришлите на thyrex2002<at>tut.by (at=@) с указанной ссылкой на тему.

    Удалите ComboFix

    Установите Internet Explorer 8 (даже если им не пользуетесь)
    Microsoft MVP 2012, 2013, 2014, 2015, 2016 Consumer Security

  12. #11
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    47,538
    Вес репутации
    940

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 1
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\docume~1\c13af~1.fou\locals~1\temp\790.exe - Trojan-Clicker.Win32.VB.eia ( DrWEB: Trojan.Packed.19972, BitDefender: Trojan.Loader.VB.D, AVAST4: Win32:VB-OWZ [Drp] )
      2. c:\docume~1\c13af~1.fou\locals~1\temp\910.exe - Backdoor.Win32.IRCBot.ovd ( DrWEB: Trojan.MulDrop1.15256, BitDefender: Trojan.Loader.VB.G, AVAST4: Win32:VB-OWZ [Drp] )
      3. c:\recycler\s-1-5-21-6798829874-2119726294-976464518-8249\syscr.exe - P2P-Worm.Win32.Palevo.abki ( DrWEB: Trojan.MulDrop1.14323, AVAST4: Win32:VB-OWZ [Drp] )
      4. c:\windows\cidrive32.exe - Backdoor.Win32.IRCBot.ovd ( DrWEB: Trojan.MulDrop1.15256, BitDefender: Trojan.Loader.VB.G, AVAST4: Win32:VB-OWZ [Drp] )
      5. c:\windows\ndll.exe - Trojan-Clicker.Win32.VB.eia ( DrWEB: Trojan.Packed.19972, BitDefender: Trojan.Loader.VB.D, AVAST4: Win32:VB-OWZ [Drp] )
      6. c:\windows\system32\21.exe - P2P-Worm.Win32.Palevo.abki ( DrWEB: Trojan.MulDrop1.14323, AVAST4: Win32:VB-OWZ [Drp] )
      7. c:\windows\system32\57.exe - P2P-Worm.Win32.Palevo.abki ( DrWEB: Trojan.MulDrop1.14323, AVAST4: Win32:VB-OWZ [Drp] )


  • Уважаемый(ая) nismoxid, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:


    Надеемся больше никогда не увидеть ваш компьютер зараженным!

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
  • Присоединяйтесь к нам в соцсетях!

    Мы делаем все возможное, чтобы помогать людям в защите и лечении компьютеров.

    Похожие темы

    1. Инет резко обрубается в определенное время
      От Во имя Винды,Ворда в разделе Помогите!
      Ответов: 4
      Последнее сообщение: 14.02.2011, 10:44
    2. Постоянно пропадает инет
      От vaigron в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 14.04.2010, 18:22
    3. Обрубается инет
      От Poka4ebu4ka в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 09.08.2009, 16:50
    4. постоянно вылетает инет
      От bizt в разделе Помогите!
      Ответов: 3
      Последнее сообщение: 05.08.2009, 16:10
    5. svchost постоянно просится в инет
      От Alex_Yu в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 10.09.2008, 01:33

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00050 seconds with 20 queries