Не могу зайти в интернет

Printable View

30.08.2007, 18:48
TYP

Не могу зайти в интернет

НЕдоступен любой сайт. Похоже вирус. Посмотрите, пожалуйста, логи. Спасибо.
30.08.2007, 18:54
PavelA

Скачивай winsockxpfix [url]www.tacktech.com/pub/winsockfix/WinsockFix.zip[/url] , но не запускай. Запомни/запиши свои сетевые настройки.

Зверья полная машина + несколько вариантов ПИНЧА. Надо менять пароли.

Скачать Cure-It и просканировать диск полностью.

Систему надо обновлять до СП2. :( :(
30.08.2007, 18:59
Rene-gad

[quote=PavelA;130411]Систему надо обновлять до СП2. :( :([/quote]и Каспера было бы неплохо апгрейдить.
30.08.2007, 19:04
TYP

А, что делать с WinsockFix.zip
30.08.2007, 19:15
PavelA

Проверяйся Cure-It.
По итогам (лог надо будет приложить) будем решать что делать дальше.
30.08.2007, 19:36
TYP

Проверил

Скачал DRWeb (Cure-It), прогнал Cure-It затем AVZ. В логах, что получилось. Лог Cure-It не смог сделать (не знаю как)
30.08.2007, 19:44
PavelA

Лог CureIt.log ищи через поиск.

Проверял весь диск полностью, или только экспресс-проверкой?

Зверья стало поменьше. Сейчас соображу скрипт, если коллеги не опередят.

Профиксить в HijackThis:
[CODE]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\User\Application Data\KAVSVC.EXE,C:\Documents and Settings\User\Application Data\TFNF5.EXE,
O22 - SharedTaskScheduler: COM+ Service - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - C:\WINDOWS\System32\winload.dll (file missing)
[/CODE]
Выполнить скрипт в AVZ:
[CODE]begin
QuarantineFile('C:\Documents and Settings\User\Application Data\KAVSVC.EXE','причина карантина');
QuarantineFile('C:\Documents and Settings\User\Application Data\TFNF5.EXE','причина карантина');
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
DelSPIByFileName('rsvp32_2.dll',true);
AutoFixSPI;
RebootWindows(true);
end.[/CODE]

Если Инет не появится, запустить winsockxpfix и восстановить сетевые настройки.
Загрузить карантин через ссылку вверху темы.
30.08.2007, 19:53
TYP

Нашёл лог

Проверял весь диск только экспресс-проверкой, других вариантов не предлагалось.
30.08.2007, 19:56
PavelA

[QUOTE=TYP;130443]Проверял весь диск только экспресс-проверкой, других вариантов не предлагалось.[/QUOTE]

Эту операцию выполнять в SafeMode
После окончания экспресс-проверки отметить диск "С" и сделать полную проверку
30.08.2007, 19:58
V_Bond

еще такой скрипт
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('C:\WINDOWS\system32\bgspmnt.dll','');
QuarantineFile('C:\WINDOWS\System32\winload.dll','');
QuarantineFile('C:\Documents and Settings\User\Local Settings\Temp\winlogon.exe','');
BC_ImportQuarantineList;
BC_Activate;
RebootWindows(true);
end.
[/code]
пришлите карантин согласно приложения 3 правил ....
30.08.2007, 20:22
TYP

Инет заработал :)

Посмотрите ещё раз логи
30.08.2007, 20:29
V_Bond

вас просили выслать карантин ... вы его выслали ?
30.08.2007, 20:34
TYP

Теперь выслал и карантин
30.08.2007, 21:03
V_Bond

C:\Documents and Settings\User\Local Settings\Temp\winlogon.exe Trojan.Win32.Agent.asu
bgspmnt.dll- чистый
профиксите
[code]
O2 - BHO: (no name) - {3C49DDAC-3DA4-4743-AF6C-5974FEAF875C} - (no file)
O2 - BHO: Yahoo Toolbar - {54C7D1DD-4296-451e-B756-1E94F665B4FF} - C:\WINDOWS\System32\yatool.dll (file missing)
[/code]
выполните скрипт ...
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\Documents and Settings\User\Local Settings\Temp\winlogon.exe');
BC_ImportAll;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
после перезагрузки еще один ....
[code]
begin
ExecuteRepair(6);
ExecuteRepair(11);
end.
[/code]
повторите логи ....
31.08.2007, 11:07
TYP

Продолжим?

Выполнил оба скрипта. Сделал новые логи.
31.08.2007, 11:18
PavelA

Теперь стало чисто.
Желательно установить СП2.
31.08.2007, 11:19
Rene-gad

[quote=TYP;130634]Выполнил оба скрипта. Сделал новые логи.[/quote]Сейчас ничего не нашел, но:
- Почему СП2 не установили? По статистике ПК без СП2 пребывает в сети целых 12 минут до заражения.
- Почему Касперского не обновили?
EDIT: Привет Павел :)
31.08.2007, 12:20
TYP

Странно

Вирусную базу Касперского я обновил, правда саму программу не обновлял, но там официальная версия, купленная недавно. А СП2 - обязательно поставлю.
31.08.2007, 13:13
pig

[QUOTE='TYP;130659']Вирусную базу Касперского я обновил, правда саму программу не обновлял, но там официальная версия, купленная недавно.[/QUOTE]
[quote]Kaspersky Anti-Virus 5.0 for Windows Workstations[/quote]
Каким образом вы этот раритет купили? Уже седьмая версия вышла.
31.08.2007, 13:41
Numb

[quote=pig;130689]Каким образом вы этот раритет купили? Уже седьмая версия вышла.[/quote]
Маленькая поправка: текущая версия антивируса Касперского под Windows workstations - [URL="http://www.kaspersky.ru/productupdates?chapter=147083907&downlink=206910101"] Версия 6.0.2.690[/URL] . А вот для домашнего использования - действительно седьмая - [URL="http://www.kaspersky.ru/productupdates?chapter=186544972&downlink=206910097"] Версия 7.0.0.125[/URL] . Если у вас действительно куплен [B]антивирус Касперского для Windows workstations[/B] - крайне рекомендуется обновиться до текущей версии - помимо всего прочего, у нее еще и функционал расширен до уровня KIS-а