-
Junior Member
- Вес репутации
- 60
Пропадает соединение с интернетом
Здравствуйте, уважаемые! с утра пришел на работу и увидел такую картину на своем компе. Ни одна ссылка не открывалась, опера писала "невозможно соединиться с удаленным сервером", мозила ничего не писала просто была пустая страница. все ссылки, которые я запускал в браузерах, все пинговались без потерь. После танцев с бубном, чисткой ccleaner-ом и AVZ, и парой перезагрузок все заработало. Я подумал что с машиной глюк и забил на все. Во второй половине дня началось тоже самое, после тех же операций вроде опять заработало. Проверьте пожалуйста логи, может че-то и правда засело там.
З.Ы.: заметил одну вещь, после каждой перезагрузки в папке C:\WINDOWS\Temp появляются следующие папки и файлы History, Cookies, Temporary Internet Files, CT2.tmp, CT1.tmp, hlktmp - последний файл всегда занят процессом System, т.е. файл не удаляется, а unlocker пишет Обработка - System, заблокированный путь - C:\WINDOWS\Temp\hlktmp, PID - 4, Дескриптор - 1500, Путь процесса - System
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
сделал лог gmer... с третьего раза. Сегодня еще хуже ведет себя комп. Постоянно виснет...
-
- Сохраните текст ниже как 1.bat в ту же папку, где находится 4xtn0r2i.exe (GMER) и запустите этот батник(1.bat):
Код:
4xtn0r2i.exe -del service TDSSserv.sys
4xtn0r2i.exe -del file "\systemroot\system32\drivers\TDSSfdmd.sys"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSevhl.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSksgx.dat"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSirhi.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSbwip.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSfpou.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSinxt.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSnmxh.log"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSlthc.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSShhmo.log"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSagbv.log"
4xtn0r2i.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv"
4xtn0r2i.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\TDSSserv"
4xtn0r2i.exe -reboot
Компьютер перезагрузится.
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer
-
-
Junior Member
- Вес репутации
- 60
лог gmer делал почти 2 часа, попытался сохранить и комп завис на этом процессе.
лог virusinfo_syscheck.zip отправляю. посмотрите пока этот лог.
попробую gmer еще раз поставить.
и еще... в процессах появляется файл wuauclt.exe хотя автоматическое обновление у меня вроде отключено. может тоже какой-нить зловред маскирующий себя под обновление...
Последний раз редактировалось vlad_1976; 28.05.2010 в 15:00.
-
если это не сами делали
>> Ограничение отображения дисков в проводнике
то устраните через Мастер поиска и устранения проблем
-
-
Junior Member
- Вес репутации
- 60
Исправил.
в смысле устранил
-
-
-
Junior Member
- Вес репутации
- 60
Сообщение от
V_Bond
новый лог Gmer где ?
я ж написал выше что с ним. надо заново делать, а это еще 2 часа.
делаю...
-
Junior Member
- Вес репутации
- 60
-
-
-
Junior Member
- Вес репутации
- 60
щас попытался обновить эту тему, чтобы посмотреть следующие указания и вижу, что сообщения датированные сегодняшним числом пропали))) сейчас зашел с другого компа.
Добавлено через 35 секунд
Сообщение от
V_Bond
ничего плохого ...
а что насчет файлов, про которые я писал в первом своем сообщении?
еще раз обновил страницу и все появилось. какие-то глюки непонятные.
Добавлено через 4 минуты
и почему периодически зависают приложения. qip завис седня, потом Gmer, и система зависала, когда стандартный хранитель экрана включался. непонятно.
и еще забыл сказать, захожу в диспетчер задач, в процессы и там периодически какой-то один из процессов жрет 50%, то lsass.exe, то нод32, а сейчас infium.exe хотя в qip я не вошел просто горит значок. Такие дела....
Добавлено через 33 минуты
можно выложить лог mbam?
Последний раз редактировалось vlad_1976; 28.05.2010 в 17:57.
Причина: Добавлено
-
- Проведите процедуру, которая описана в первом сообщении тут.
результат загрузки прикрепите к сообщению
-
-
Junior Member
- Вес репутации
- 60
скрипт номер 4 выполнил.
Файл сохранён как 100531_091128_virusinfo_files_ADMIN_4c0345002cdc0. zip
Размер файла 663997
MD5 e54d792ff7bea9450cb1ad943838243b
перед тем как уйти на выходные я все таки запустил mbam и вот что он мне выдал
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
Зараженные папки:
(Вредоносных программ не обнаружено)
Зараженные файлы:
C:\WINDOWS\system32\TDSSagbv.log (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSinxt.dll (Rootkit.TDSS) -> No action taken.
я удалил только 2 последних файла, в реестре ничего не удалял.
-
Архив 100531_091128_virusinfo_files_ADMIN_4c0345002cdc0. zip, загружен 31.05.2010 9:30:24, размер 663997 байт
Всего файлов: 4 (исполняемых 4), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 3
обычный приоритет: 0
подозрительного нет
-
-
Junior Member
- Вес репутации
- 60
И все таки я хочу вернуться к первому посту, после каждой перезагрузки в папке C:\WINDOWS\Temp появляются следующие папки и файлы History, Cookies, Temporary Internet Files, CT2.tmp, CT1.tmp, hlktmp? как посмотреть, что их образовывает?
-
Сообщение от
vlad_1976
History, Cookies, Temporary Internet Files
Появляются после посещения Internet
Сообщение от
vlad_1976
hlktmp
Скорее всего от HardLock (HASP)
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 Reconnect
-
-
Junior Member
- Вес репутации
- 60
появляются сразу же после загрузки системы
-
Я бы в журнал событий посмотрел, в раздел Приложения. Что-то мне не нравится это самозарождение временного профиля. В журнале должно быть сообщено, чьё это и почему там.
-
-
Junior Member
- Вес репутации
- 60
вот сообщения которые записываются в журнал событий
Тип события: Уведомление
Источник события: bgsvcgen
Категория события: Отсутствует
Код события: 0
Дата: 01.06.2010
Время: 11:26:03
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Service started
Тип события: Уведомление
Источник события: Nexus Server
Категория события: Отсутствует
Код события: 4096
Дата: 01.06.2010
Время: 11:26:05
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Nexus Engine Status: Nexus Server is running....
Тип события: Уведомление
Источник события: SecurityCenter
Категория события: Отсутствует
Код события: 1800
Дата: 01.06.2010
Время: 11:26:06
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Служба центра обеспечения безопасности Windows запущена.
Тип события: Уведомление
Источник события: Nexus Server
Категория события: Отсутствует
Код события: 4096
Дата: 01.06.2010
Время: 11:26:15
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Nexus Engine Status: Nexus Engine Initialized. Rhozet Carbon Coder - Version: 3.14.0.17760.
И еще, после установки Rhozet Carbon Coder в автозагрузке появились 2 процесса PNXKERNL.exe и PNXSERVR.exe. Как их отключить из автозагрузки?
Скорее всего это из-за них появляются файлы в windows\temp