Перестали открываться интренет-страницы в любом браузере. Причем сайты пингуются но не открываются - очень-очень долго браузер думает и потом выдает что станица не найдена.
Логи прикрепил.
Перестали открываться интренет-страницы в любом браузере. Причем сайты пингуются но не открываются - очень-очень долго браузер думает и потом выдает что станица не найдена.
Логи прикрепил.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Обязательно!!! Системное восстановление!!! как- посмотреть можно тут
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFileMask('C:\Documents and Settings\Multik\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true); QuarantineFile('C:\WINDOWS\explorer.exe',''); QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll',''); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW', 2, 2, true); ExecuteWizard('SCU', 2, 2, true); RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221); BC_Activate; RebootWindows(true); end.
- выполните такой скрипт
- Файл quarantine.zip из папки AVZ загрузите по ссылке Прислать запрошенный карантин вверху темыКод:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Сделайте повторные логи по правилам п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log
Сделал. Вот новые логи. Еще заметил что в журнале работы системы есть такие ошибки:
иКод:Ошибка DCOM "Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены. " при попытке запуска службы wuauserv с аргументами "" для запуска сервера: {E60687F7-01A1-40AA-86AC-DB1CBF673334}
Код:Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.
И еще вот что выяснил - очень-очень много открытых соединений по TCP/IP (порядка 1700)
Прикрепляю файл отчет по команде netstat -n
- Выполните скрипт в AVZ
После перезагрузки:Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak'); CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll'); DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_ImportAll; ExecuteSysClean; BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak'); BC_Activate; RebootWindows(true); end.
- Сделайте повторный лог virusinfo_syscheck.zip;
Сделал. Это при выключенном интернете.
что-то еще беспокоит?
Но как только включаю интернет опять появляется куча открытых сесий на несколько IP. Вот логи при включенном интернете.
Ну и при этом спустя пару минут перестают открываться сайты все..., т.е. проблема пока осталась.
И еще - очень большое количество дескрипторов (больше 4000) у процесса system:
Последний раз редактировалось allalone; 31.05.2010 в 14:18.
сделайте лог Combofix
Готово
Выполните скрипт в AVZ
Пришлите карантин согласно Приложения 3 правил по красной ссылке Прислать запрошенный карантин вверху темыКод:begin QuarantineFile('c:\windows\system32\fc40dc00.exe',''); QuarantineFile('c:\windows\system32\22cbb2af.exe',''); QuarantineFile('c:\windows\system32\SWedHKb.exe',''); QuarantineFile('c:\windows\system32\megvdbiq.dll',''); end.
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Отправил. Пароль на архив - virus
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива http://virusinfo.info/showthread.php?t=51654
Выполните скрипт в AVZ
Компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('c:\windows\system32\fc40dc00.exe'); DeleteFile('c:\windows\system32\22cbb2af.exe'); DeleteFile('c:\windows\system32\SWedHKb.exe'); DeleteFile('c:\windows\system32\megvdbiq.dll'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Удалите ComboFix
Что сейчас с проблемой?
Microsoft MVP 2012-2016 Consumer Security
Microsoft MVP 2016 ReconnectАнтивирусная помощь
Машинка на работе осталась, завтра сделаю и о результатах сообщу.
будем ждать
да, помогло. Все теперь прекрасно работает. Спасибо.
Статистика проведенного лечения:
- Получено карантинов: 2
- Обработано файлов: 7
- В ходе лечения обнаружены вредоносные программы:
- c:\windows\system32\megvdbiq.dll - Backdoor.Win32.Shiz.gen ( DrWEB: Trojan.DownLoad1.63698, BitDefender: Trojan.Generic.4128395 )
- c:\windows\system32\sfcfiles.dll - Trojan-Spy.Win32.Agent.bgah ( AVAST4: Win32:Agent-OJW [Trj] )
Рекомендации:
- Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли !
Уважаемый(ая) allalone, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.