Вирус глушит интернет

Printable View

09.08.2009, 15:19
Quicks

Вложений: 3

Вирус глушит интернет

Добрый день. На прошлой неделе столкнулся с такой проблемой: внезапно пропал интернет. Не грузился ни один сайт (Oooooops, we can't open). Проверил подключение - все в порядке. Прооверил антивирусом (AVG) - ничего не видит. Установил Касперского, но базы обновить не смог. Старые базы ничего не нашли. Поменял на Dr.Web Cure It . Он тоже сначала не нашел подозрительных файлов. Тогда проверил систему с помощью AVPTool. Обычная проверка оказалась безрезультатной. Но один раз во время нее компьютер перезагрузился и выдал Disk Boot Error. Ручная проверка выявила присутствие перехватчиков потока. После их нейтрализации программой интернет появился, но на следующий день все началось снова. Новая проверка показала - перехват все еще идет. AVP опять его поборол, и до сегодняшнего дня все было хорошо. Я уже успокоился, но сегодня инет опять пропал. Dr.Web Cure It с обновленными базами нашел и удалил троян BackDoor_Black Hole. Сейчас интернет есть, но я уж и не знаю, надолго ли:( Все ли удалил? Помогите, пожалуйста, избавиться от этой гадости...
09.08.2009, 16:12
Rene-gad

Закройте/выгрузите все программы кроме AVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- Антивирус и Файрвол.
- Системное восстановление.
-[URL="http://virusinfo.info/showthread.php?t=4491"]Пофиксите[/URL]
[CODE]O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.126
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.126
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.115.99 85.255.112.126
[/CODE]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('XCOMM');
StopService('bdss');
QuarantineFile('kdlfi.exe','');
QuarantineFile('C:\Program Files\Success\Success.exe','');
QuarantineFile('XCOMM.sys','');
QuarantineFile('LIVESRV.sys','');
QuarantineFile('bdss.sys','');
QuarantineFile('C:\WINDOWS\system32\TUKERNEL.EXE','');
DeleteFile('C:\WINDOWS\system32\TUKERNEL.EXE');
DeleteFile('C:\WINDOWS\system32\drivers\bdss.sys');
DeleteFile('C:\WINDOWS\system32\drivers\LIVESRV.sys');
DeleteFile('C:\WINDOWS\system32\drivers\XCOMM.sys');
DeleteFile('C:\WINDOWS\system32\kdlfi.exe');
DeleteFile('C:\WINDOWS\kdlfi.exe');
DeleteService('XCOMM');
DeleteService('bdss');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('XCOMM');
BC_DeleteSvc('bdss');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:

- [url="http://virusinfo.info/showthread.php?t=10025"] Очистите [/url]темп-папки, кэш проводников и корзину.
- Закройте все программы, включая Антивирус и Файрвол, Оставьте запущенным [B]только Internet Explorer[/B]. Если он не запущен - запустите!!!
- Сделайте повторные логи
[b]virusinfo_syscure.zip
virusinfo_syscheck.zip
hijackthis.log [/b]
- Включите Антвирус и Файрволл
- Подключите ПК к интернету/локалке
- Закачайте карантин по ссылке [COLOR="Red"][B]Прислать запрошенный карантин[/B][/COLOR] вверху темы (Приложение 3 правил).
- Прикрепите логи к новому сообщению.
09.08.2009, 17:44
Quicks

Вложений: 3

Спасибо. Все сделал. Карантин присоединен. Вот логи.
09.08.2009, 18:08
Rene-gad

1. Удалите TuneUp
2. Файл из карантина avz00003.dta переименуйте в TUKERNEL.EXE и скопируйте его на место в C:\WINDOWS\system32\TUKERNEL.EXE - был удалён ошибочно.

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
ExecuteRepair(13);
RegKeyBinParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','System','');
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Повторите действия, описанные в п. 2 и 3 Диагностики и новые логи прикрепите к новому сообщению.
09.08.2009, 18:35
Quicks

Вложений: 2

Сделано.
09.08.2009, 18:44
Rene-gad

- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт[/URL]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
StopService('windrvNT');
QuarantineFile('C:\WINDOWS\system32\windrvNT.sys','');
DeleteFile('C:\WINDOWS\system32\windrvNT.sys');
RegKeyBinParamWrite('HKEY_LOCAL_MACHINE','SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon','System','');
DeleteService('windrvNT');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteSvc('windrvNT');
BC_Activate;
RebootWindows(true);
end.
[/CODE]

После перезагрузки:
- Повторите действия, описанные в п. 1 - 3 Диагностики и новые логи прикрепите к новому сообщению.
09.08.2009, 20:18
Quicks

Вложений: 3

Готово. Вот логи.

P,S. Не могли бы Вы кратко пояснить, что случилось с компьютером?
09.08.2009, 20:21
V_Bond

[QUOTE]P,S. Не могли бы Вы кратко пояснить, что случилось с компьютером?[/QUOTE]
если вас лечат от зловредов - значит заражение ....
выполните скрипт
[code]
begin
QuarantineFile('LIVESRV.sys','');
DeleteService('LIVESRV');
DeleteFile('LIVESRV.sys');
DeleteFile('kdlfi.exe');
ExecuteSysClean;
RebootWindows(true);
end.
[/code]
повторите логи
09.08.2009, 21:29
Quicks

Вложений: 3

Логи... Думаю, пора прервать лечение для здорового сна :D До завтра, господа. Еще раз спасибо.
09.08.2009, 21:31
V_Bond

в логах ничего плохого ...
10.08.2009, 13:10
Quicks

Спасибо! :beer: Пока все, вроде бы, нормально. К концу недели буду уверен точно :D
11.08.2009, 13:10
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]15[/B][*]В ходе лечения вредоносные программы в карантинах не обнаружены[/LIST]