Вирусы

Printable View

17.08.2009, 18:44
roach

Вложений: 3

Вирусы

Боролся с икс коннект, но интернет все равно вылетает через 2 минуты
17.08.2009, 18:56
thyrex

Пофиксить в HiJack
[code] R3 - URLSearchHook: QIPBHO Class - {95289393-33EA-4F8D-B952-483415B9C955} - C:\Documents and Settings\Marat\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: UserInit=C:\WINDOWS\System32\userinit.exe
O9 - Extra button: (no name) - {2670000A-7350-4f3c-8081-5663EE0C6C49} - (no file)
O9 - Extra button: (no name) - {8DAE90AD-4583-4977-9DD4-4360F7A45C74} - (no file)
O17 - HKLM\System\CCS\Services\Tcpip\..\{ACA5D246-1C83-4D97-8E2F-D73BF888F9E8}: NameServer = 85.255.113.202,85.255.112.223
O17 - HKLM\System\CCS\Services\Tcpip\..\{CCC17DFB-79FB-4349-AE4E-8E8053F7638B}: NameServer = 85.255.113.202,85.255.112.223
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.113.202 85.255.112.223
O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.113.202 85.255.112.223
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.113.202 85.255.112.223
[/code]

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DelBHO('{95289393-33EA-4F8D-B952-483415B9C955}');
DelBHO('{829E39ED-8DC0-4B66-B10C-C7783D19E470}');
QuarantineFile('C:\Documents and Settings\All Users\Application Data\llglib.dll','');
QuarantineFile('C:\WINDOWS\system32\drivers\dllhost.exe','');
QuarantineFile('C:\WINDOWS\system32\csrcs.exe','');
SetServiceStart('srwsvc', 4);
DeleteService('srwsvc');
SetServiceStart('winsecguard', 4);
DeleteService('winsecguard');
QuarantineFile('C:\WINDOWS\system32\drivers\srwsvc.sys','');
TerminateProcessByName('c:\windows\microsoft.net\zpx2.exe');
QuarantineFile('c:\windows\microsoft.net\zpx2.exe','');
DeleteFile('c:\windows\microsoft.net\zpx2.exe');
DeleteFile('C:\WINDOWS\system32\drivers\srwsvc.sys');
DeleteFile('C:\WINDOWS\system32\csrcs.exe');
DeleteFile('C:\WINDOWS\system32\drivers\dllhost.exe');
DeleteFile('C:\Documents and Settings\All Users\Application Data\llglib.dll');
DeleteFile('C:\Documents and Settings\Marat\Application Data\Microsoft\Internet Explorer\qipsearchbar.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(16);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
17.08.2009, 19:24
roach

Вложений: 3

пропал интернет - не пускает ан страницы - хотя пинги идут
карантин выслал
17.08.2009, 19:44
thyrex

[QUOTE='roach;450592']пропал интернет[/QUOTE]Посмотрите в договоре с провайдером (или позвоните провайдеру и узнайте) правильные DNS-адреса. Те, что были у Вас прописаны - троянские
17.08.2009, 19:50
roach

[QUOTE=thyrex;450605]Посмотрите в договоре с провайдером (или позвоните провайдеру и узнайте) правильные DNS-адреса. Те, что были у Вас прописаны - троянские[/QUOTE]

интернет через линукс шлюз в локалке раздается - ип dhcp - с других компов выход в интернет есть
17.08.2009, 20:14
thyrex

Проверьте IP-адреса подключения по локальной сети
18.08.2009, 06:43
roach

с ип все нормально, пинги до сайтов идут - интенет есть - не открывает страницы

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

посмотрел логи сейчас сам вот что нашол:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600

удалил - страница грузяца

пожайлуйста проверьте логи кто нибудь еще

смущает например вот ето:
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
18.08.2009, 06:46
pig

[QUOTE=roach;450876]смущает например вот ето:
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll[/QUOTE]
Разработчики HJT почему-то не знают о существовании Novell NetWare.
18.08.2009, 07:19
roach

т.е. в логах - все чисто7
18.08.2009, 10:48
Rene-gad

[QUOTE=roach;450876]
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=127.0.0.1:8600
удалил - страница грузяца [/QUOTE]
Откуда у Вас этот прокси прописан?

[QUOTE=roach;450888]т.е. в логах - все чисто7[/QUOTE]Не считая мелких брызг © - да:
- Прочитайте [URL="http://virusinfo.info/showthread.php?t=30339"]Как не стать завсегдатаем раздела Помогите?[/URL]
[QUOTE]Platform: Windows XP SP2 (WinNT 5.01.2600)[/QUOTE]
- Установите Сервис Пак 3 - возможно потребуется активация, и все последующие важные патчи.
Перед установкой Сервис Пака необходимо выгрузить [B][COLOR="Red"]все защитные приложения[/COLOR][/B] (антивирус, файрвол а так же резидентные приложения типа TeaTimer (Spybot Search and Destroy) и др.)
[QUOTE]MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)[/QUOTE]
- Установите IE 8
[QUOTE]O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.5.0_09\bin\ssv.dll[/QUOTE]
- Обновите JavaRE
19.08.2009, 10:48
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]13[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\documents and settings\all users\application data\llglib.dll - [B]Trojan-Ransom.Win32.Hexzone.agn[/B] ( DrWEB: Trojan.Blackmailer.1005, BitDefender: Gen:Adware.Heur.FC8@vWamBWic, NOD32: Win32/Hexzone.AL trojan, AVAST4: Win32:Trojan-gen {Other} )[*] c:\windows\microsoft.net\zpx2.exe - [B]Trojan-Proxy.Win32.Agent.bjd[/B] ( DrWEB: Trojan.Proxy.5126, BitDefender: Trojan.Generic.1746456, NOD32: Win32/Agent.PAM trojan, AVAST4: Win32:Rootkit-gen [Rtk] )[*] c:\windows\system32\drivers\dllhost.exe - [B]Net-Worm.Win32.Kolab.dly[/B] ( DrWEB: BackDoor.IRC.Bot.127, BitDefender: Application.Generic.194043, NOD32: Win32/IRCBot.APB trojan )[/LIST][/LIST]