Нет выхода в Интернет

Printable View

04.09.2007, 20:26
toxy3

Вложений: 3

Нет выхода в Интернет

Вначале участились отказы открытия страниц сайтов. Начала отказывать почта. Стоял AVAST- после его деинсталляции NOD32 отказался становиться. После установки AVG были обнаружены 43 вируса, а после их удаления выход в Сеть вообще пропал (восстановление их из карантина ничего не изменило). При этом соединение проходит нормально (ADSL/локальная сеть). Firewall-а никакого нет. Огромная просьба объяснить, что могло навредить.
04.09.2007, 20:59
drongo

ответ в самом вопросе, файрвола нет , под админиом гуляете. один из зловредов в процессе вашего лечения был удалён, именно тот который встроился , как "поставщик " интернета . вот и интернета нет ;)
Сейчас напишу лекарство.

[SIZE=1][COLOR=#666686][B][I]Добавлено через 21 минуту[/I][/B][/COLOR][/SIZE]

1.Пофиксить в HijackThis следующие строчки ( [URL]http://virusinfo.info/showthread.php?t=4491[/URL] )
[code]
F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\Documents and Settings\Admin\Application Data\[System Process],
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O10 - Unknown file in Winsock LSP: c:\windows\system32\y1.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\y1.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\y1.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\y1.dll
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
[/code]2.AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
SetServiceStart('SSDPSRV', 4);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'System\CurrentControlSet\Services\CDROM','AutoRun', 0);
RegKeyIntParamWrite('HKEY_LOCAL_MACHINE', 'SYSTEM\CurrentControlSet\Control\LSA','RestrictAnonymous', 2);

QuarantineFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys','');
QuarantineFile('C:\WINDOWS\SYSTEM32\spooldr.sys','');
QuarantineFile('C:\WINDOWS\system32\y1.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\ip6fw.sys','');
DeleteFile('C:\WINDOWS\System32\DRIVERS\smtpdrv.sys');
DeleteFile('C:\WINDOWS\SYSTEM32\spooldr.sys');
DeleteFile('C:\WINDOWS\system32\y1.dll');
DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('ICF');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
ExecuteRepair(12);
AutoFixSPI;
RebootWindows(true);
end.[/code]
3.Если всё равно не будет инета, качаем с другого компьютера и следуем инструкции: [URL]http://virusinfo.info/showthread.php?t=10267[/URL]
4.Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=12185[/url]
5.Сделайте новые логи после лечения и присоедините к следующему сообщению .
04.09.2007, 22:25
toxy3

Вложений: 2

Огромное спасибо за участие!
Приношу тысячи извинений, но еще до меня попытались "лечить" комп. Как я понял, лечили с помощью скриптов, найденных для spooldr, updater, smtpdrv, ip6fw на virus.info. Кроме этого, запускали prevx6 и RegRunReanimator. AVZ запускаться не хотел, пришлось переименовать. В результате сеть появилась, почта восстановилась, но периодически (5-7 секунд на 2-3 сек) идет непонятный обмен с сетью. Кроме этого, иногда появляется ошибка svchost "неизвестное програмное исключение 0хС0000409 в приложении по адресу 0х5bd5a510", после которой сеть слетает и нужно перегружаться.
Лечили в два этапа, поэтому карантин отсылаю в 2-х файлах. Log- файлы, полученные в результате НЕ МОЕГО (ВАШЕГО) лечения, прикрепляю.
Еще раз приношу извинения и подчеркиваю, что Ваш скрипт не выполнял, и не фиксил строки.
04.09.2007, 22:36
Alex_Goodwin

[QUOTE]Еще раз приношу извинения и подчеркиваю, что Ваш скрипт не выполнял, и не фиксил строки.[/QUOTE]
Еще не поздно выполнить и пофиксить :)
После выполните и такой скрипт: [code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
QuarantineFile('and.exe','');
QuarantineFile('Process].exe','');
QuarantineFile('Data\[System','');
QuarantineFile('C:\WINDOWS\system32\linkdel.cmd','');
BC_DeleteFile('C:\WINDOWS\Temp\startdrv.exe');
BC_DeleteFile('C:\WINDOWS\SYSTEM32\DRIVERS\RUNTIME2.SYS');
BC_DeleteFile('C:\WINDOWS\system32\drivers\ip6fw.sys');
BC_DeleteSvc('runtime');
BC_DeleteSvc('runtime2');
BC_DeleteSvc('Ip6Fw');
BC_DeleteSvc('kprof');
BC_DeleteSvc('poof');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.[/code]
Пофиксить: [code]
O4 - HKLM\..\Run: [startdrv] C:\WINDOWS\Temp\startdrv.exe
O16 - DPF: {33331111-1111-1111-1111-615111193427} -
[/code]
Карантин по правилам + новые логи после перезагрузки.
22.02.2009, 02:21
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]6[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\networkservice\\local settings\\temporary internet files\\content.ie5\\9t32v4c7\\n2_17_08_07_na_0[1].exe - [B]Trojan.Win32.Obfuscated.gp[/B] (DrWEB: Trojan.Spambot.2429)[*] c:\\windows\\system32\\spooldr.sys - [B]Email-Worm.Win32.Zhelatin.hl[/B] (DrWEB: BackDoor.Groan)[*] c:\\windows\\system32\\svchost.exe:exe.exe:$data - [B]Trojan-Downloader.Win32.Agent.aii[/B] (DrWEB: BackDoor.Bolg)[/LIST][/LIST]