Комп тормозил, вирусы, лечение, теперь доступ к вебстраницам пропадает через пару секунд
Здравствуйте!
Ноут начал сильно тормозить, работать не стабильно (IE8 не загружался вообще на нем в нормальном режиме, в сейфмоде загрузился), потом вообще загнулся. Стоял Макаффи на нем, снесли. Зашли в сейфмоде и пролечили с помощью CureIt, который нашел 7-8 файлов, инфецированных Trojan.PWS.Ibank.28. Но пропал доступ к сайтам, рдп, ресурсам локальной сети. Заново ввели настройки tcp/ip, появился доступ к сайтам, но длилось это недолго, меньше минуты. В дальнейшем доступ к компьютерам локальной сети работал большую часть времени, только иногда пропадал. Доступ к интернет-сайтам работал полминуты после команды route -f. Потом страницы становятся недоступными (google.com, drweb.ru, ya.ru и др.)(успеваю зайти на один сайт либо запустить одно рдп соединение). Файл hosts был стандартным для Win XP.
Был исправлен ключ в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\Windows\system32\userinit.exe," после запятой было дописано еще куча путей, они были удалены.
Помогите, пожалуйста, разобраться с этим вопросом.
Последний раз редактировалось Александра_С; 15.05.2010 в 02:28.
Причина: Дополнение
Будь в курсе!Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Сегодня удалили драйвер сетевой карты. Винда сама ее нашла и определила, ввели настройки TCP/IP, интернет заработал, смотрели в Chrome разные сайты, в т.ч. антивирусные, потом в IE8 загрузили google.com, он открылся, но выдало сообщение об ошибке (по такому-то адресу memory can not be written) и еще одна про LSA Shell (Export version) (что-то вроде Выполнила недопустимую операцию и будет закрыта). Перезагрузили комп. Сайты продолжали открываться, я обновила файлы AVZ, открыла хром и ие8, выполнила 4й скрипт (топик #6999 в соотв. теме). После перезагрузки минут 10 все было нормально, потом опять пропал доступ к сайтам, а вот открытое рдп соединение продолжало работать.
На десктопе и в папке, где лежит AVZ, появляется файлик tmp.tmp, это ваш?
Архив 100517_132908_virusinfo_files_PAVLISHIN_4bf10c64f1 91f.zip, загружен 17.05.2010 13:50:46, размер 18326108 байт
Всего файлов: 33 (исполняемых 30), из них:
зловреды или опасные объекты: 0
подозрительные: 0
Сообщение от Александра_С
На десктопе и в папке, где лежит AVZ, появляется файлик tmp.tmp, это ваш?
Нет.
Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления (для Windows вам нужны английские версии патчей).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
Сделала. Доступа к сайтам так и нету. Бывает один раз сайт загрузится, например сайт ya.ru пингуется, а все равно на него не зайти ни по имени, ни по айпишнику. Я делала сброс настроек и воспользовалась программкой winsockxpfix.exe.
По-моему нет, не стало. Вообще, если смотреть в AVZ порты после перезагрузки ноута, то сначала их мало (около 17 подозрительных, ведущих на 443 порт), а после загрузки и захода на любой сайт их становится все больше и больше, пока все не будут в этом списке, AVZ при этом жутко тормозит и подвисает.
Интернет пропадает через несколько секунд после загрузки компа, доступ к сайтам появляется после любого изменения сетевых настроек либо временного отключения соединения и снова пропадает, можно успеть зайти на 1 любой сайт либо 1 рдп соединение запустить
другие компы доступны по локалке
при этом после загрузки винды (ХР) он сразу же шлет кучу пакетов, например, за первую минуту отослано 40 000 пакетов, за 12 минут ушло 97 000, пришло 8 000 пакетов, если проверить открытые порты, то картина вот такая (и так на все 4000 портов):
- нулевой файлик tmp.tmp в директории, где запускается исполняемый файл.
- было такое, что появляется системное окно lsass.exe (я после этого проверила файл lsass.exe на вирустотал Результат: 1/40 (2.50%)
eSafe 7.0.17.0 2010.05.13 Win32.Banker).
Ошибка приложения. Инструкция по адресу "0x7ffa19d6" обратилась к памяти по адресу "0x3cffa763". Память не может быть "written". При ответе как OK так и Cancel начинается отсчет времени 55сек autority system и компьютер отключается.
- lsass, explorer (и др.) ломятся со всех портов на порт 443 IP 80.246.240.93, 212.6.7.58 и 82.140.110.2. Причем после загрузки ОС в норм. режиме они висят где-то на 15 портах, а как только я запускаю любой браузер и захожу на любой сайт, эти процессы начинают висеть на всех портах, и на сайты после этого больше не зайти.
Ну и постоянный исходящий трафик.
Уже два дня (45 часов) идет проверка CureIt'ом в безопасном режиме без подключения сетевых драйверов. Очень сильно тормозит на проверке директории drivers, скорость сканирования упала до 1 КБ/с. Пока что нашел два инфицированных Trojan.DownLoader.origin и Exploit.PDF.2, два подозрительных (возможно, BATCH.Virus) и три с сообщением Контейнер/Архив содержит инфицированные объекты.
Если есть решение в том случае, то и мне тоже подскажите,пожалуйста, как эту беду можно победить.
Попробовала выполнить в безопасном и потом в нормальном режиме без подключенного сетевого провода. Результат один и тот же. В логе выполнения
Quarantine file: failed (error), attemting of direct disk reading (путь)
потом небольшой списочек длл из папки C:\Program Files\Internet Explorer
Скопировала папку system32 с зараженного компа на здоровый по сети, при копировании Аваст нашел вирусы, файлы были удалены. Потом по этой папке прошлась CureIt'ом, он нашел дллку с вирусом. Параллельно эти файлы были удалены и на ноуте.
Порты перестали открываться, интернет заработал!
system32
1
File name: 6t1eovo.exe
Malware name: Win32:Rootkit-gen [Rtk]
Malware type: Rootkit
2
File name: djb5R5i.exe
Malware name: Win32:Rootkit-gen [Rtk]
Malware type: Rootkit
3
File name: iRqhf7z.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
4
File name: rGfj5Qx.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
5
File name: sFG0kjU.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
6
File name: tzcgQwz.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
7
masekyvk.dll - вот эта дллка была связана (смотрела по программе Process Monitor) с файликом tmp.tmp
Trojan.Siggen1.30070
Уважаемый(ая) Александра_С, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru: