Комп тормозил, вирусы, лечение, теперь доступ к вебстраницам пропадает через пару секунд

Printable View

14.05.2010, 22:59
Александра_С

Комп тормозил, вирусы, лечение, теперь доступ к вебстраницам пропадает через пару секунд

Здравствуйте!
Ноут начал сильно тормозить, работать не стабильно (IE8 не загружался вообще на нем в нормальном режиме, в сейфмоде загрузился), потом вообще загнулся. Стоял Макаффи на нем, снесли. Зашли в сейфмоде и пролечили с помощью CureIt, который нашел 7-8 файлов, инфецированных Trojan.PWS.Ibank.28. Но [B]пропал доступ к сайтам, рдп[/B], ресурсам локальной сети. Заново ввели настройки tcp/ip, появился доступ к сайтам, но длилось это недолго, меньше минуты. В дальнейшем доступ к компьютерам локальной сети работал большую часть времени, только иногда пропадал. Доступ к интернет-сайтам работал полминуты после команды route -f. Потом страницы становятся недоступными (google.com, drweb.ru, ya.ru и др.)(успеваю зайти на один сайт либо запустить одно рдп соединение). Файл hosts был стандартным для Win XP.
Был исправлен ключ в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\Windows\system32\userinit.exe," после запятой было дописано еще куча путей, они были удалены.

Помогите, пожалуйста, разобраться с этим вопросом.
16.05.2010, 23:57
AndreyKa

Не видно ничего подозрительного.
Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: [url]http://virusinfo.info/showthread.php?t=3519[/url]
17.05.2010, 13:50
Александра_С

Сегодня удалили драйвер сетевой карты. Винда сама ее нашла и определила, ввели настройки TCP/IP, интернет заработал, смотрели в Chrome разные сайты, в т.ч. антивирусные, потом в IE8 загрузили google.com, он открылся, но выдало сообщение об ошибке (по такому-то адресу memory can not be written) и еще одна про LSA Shell (Export version) (что-то вроде Выполнила недопустимую операцию и будет закрыта). Перезагрузили комп. Сайты продолжали открываться, я обновила файлы AVZ, открыла хром и ие8, выполнила 4й скрипт (топик #6999 в соотв. теме). После перезагрузки минут 10 все было нормально, потом опять пропал доступ к сайтам, а вот открытое рдп соединение продолжало работать.
На десктопе и в папке, где лежит AVZ, появляется файлик tmp.tmp, это ваш?
17.05.2010, 14:07
AndreyKa

Результаты обработки[QUOTE='CyberHelper;638416']
Архив 100517_132908_virusinfo_files_PAVLISHIN_4bf10c64f1 91f.zip, загружен 17.05.2010 13:50:46, размер 18326108 байт
Всего файлов: 33 (исполняемых 30), из них:
зловреды или опасные объекты: 0
подозрительные: 0[/QUOTE]

[QUOTE='Александра_С;638413']На десктопе и в папке, где лежит AVZ, появляется файлик tmp.tmp, это ваш? [/QUOTE]Нет.

Выполните в AVZ скрипт [url=http://dataforce.ru/~kad/ScanVuln.txt]ScanVuln.txt[/url] и приложите сюда файл avz_log.txt из под-папки log.
Пройдитесь по ссылкам из файла avz_log.txt и установите обновления (для Windows вам нужны английские версии патчей).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
17.05.2010, 17:42
Александра_С

Вложений: 1

Сделала. Доступа к сайтам так и нету. Бывает один раз сайт загрузится, например сайт ya.ru пингуется, а все равно на него не зайти ни по имени, ни по айпишнику. Я делала сброс настроек и воспользовалась программкой winsockxpfix.exe.

Посмотрите, пожалуйста, список портов.

Проверила lsass.exe на вирустотал
Результат: 1/40 (2.50%)
eSafe 7.0.17.0 2010.05.13 Win32.Banker
[url]http://www.virustotal.com/ru/analisis/f7794b5d12dc5d820a162850f4388e2aa80426ad07cb221799cf941c682ab501-1273996391[/url]
17.05.2010, 18:00
AndreyKa

Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.
17.05.2010, 18:13
Александра_С

Вложений: 1

Вот.
17.05.2010, 18:41
AndreyKa

Деинсталлируйте Internet Information Services - [url]http://support.microsoft.com/kb/325889[/url]
Открытых портов стало меньше?
17.05.2010, 19:39
Александра_С

По-моему нет, не стало. Вообще, если смотреть в AVZ порты после перезагрузки ноута, то сначала их мало (около 17 подозрительных, ведущих на 443 порт), а после загрузки и захода на любой сайт их становится все больше и больше, пока все не будут в этом списке, AVZ при этом жутко тормозит и подвисает.
Интернет пропадает через несколько секунд после загрузки компа, доступ к сайтам появляется после любого изменения сетевых настроек либо временного отключения соединения и снова пропадает, можно успеть зайти на 1 любой сайт либо 1 рдп соединение запустить
другие компы доступны по локалке
при этом после загрузки винды (ХР) он сразу же шлет кучу пакетов, например, за первую минуту отослано 40 000 пакетов, за 12 минут ушло 97 000, пришло 8 000 пакетов, если проверить открытые порты, то картина вот такая (и так на все 4000 портов):

Port Status Remote Host Remote Port Application Notes
TCP ports
135 LISTENING 0.0.0.0 38974 [892] c:\windows\system32\svchost.exe Microsoft NET
139 LISTENING 0.0.0.0 24777 [4] System Microsoft NET
445 LISTENING 0.0.0.0 2160 [4] System Microsoft NET
1026 LISTENING 0.0.0.0 36979 [1932] c:\windows\system32\alg.exe
1028 SYN_SENT 80.246.240.93 443 [632] c:\windows\system32\lsass.exe
1029 SYN_SENT 82.140.110.2 443 [376] c:\windows\explorer.exe
1030 SYN_SENT 82.140.110.2 443 [376] c:\windows\explorer.exe
1031 SYN_SENT 82.140.110.2 443 [632] c:\windows\system32\lsass.exe
1032 SYN_SENT 82.140.110.2 443 [632] c:\windows\system32\lsass.exe
1033 SYN_SENT 80.246.240.93 443 [632] c:\windows\system32\lsass.exe
1034 SYN_SENT 80.246.240.93 443 [376] c:\windows\explorer.exe
1035 SYN_SENT 80.246.240.93 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1036 SYN_SENT 212.6.7.58 443 [376] c:\windows\explorer.exe
1037 SYN_SENT 212.6.7.58 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1038 SYN_SENT 82.140.110.2 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1039 SYN_SENT 212.6.7.58 443 [376] c:\windows\explorer.exe
1040 SYN_SENT 82.140.110.2 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1041 SYN_SENT 212.6.7.58 443 [632] c:\windows\system32\lsass.exe
1042 SYN_SENT 212.6.7.58 443 [632] c:\windows\system32\lsass.exe
1043 SYN_SENT 82.140.110.2 443 [632] c:\windows\system32\lsass.exe
1044 SYN_SENT 80.246.240.93 443 [632] c:\windows\system32\lsass.exe
1045 SYN_SENT 212.6.7.58 443 [632] c:\windows\system32\lsass.exe
1046 SYN_SENT 82.140.110.2 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1047 SYN_SENT 80.246.240.93 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1048 SYN_SENT 212.6.7.58 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1049 SYN_SENT 212.6.7.58 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1050 SYN_SENT 80.246.240.93 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
1051 SYN_SENT 80.246.240.93 443 [376] c:\windows\explorer.exe
1052 SYN_SENT 80.246.240.93 443 [376] c:\windows\explorer.exe
1053 SYN_SENT 82.140.110.2 443 [376] c:\windows\explorer.exe
1054 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1055 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1056 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1057 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1058 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1059 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1060 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1061 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
1062 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
...

Запустила CureIt на полную проверку в безопасном режиме с отключенным сетевым проводом, пока что нашел 1 файлик с PWS.Ibank.39.
21.05.2010, 17:29
Александра_С

tmp_tmp, lsass.exe на всех портах, исходящий трафик, вебстраницы не доступны

У меня по описанию такая же проблема, как и в теме [url]http://virusinfo.info/showthread.php?t=78945[/url]

- нулевой файлик tmp.tmp в директории, где запускается исполняемый файл.
- было такое, что появляется системное окно lsass.exe (я после этого проверила файл lsass.exe на вирустотал Результат: 1/40 (2.50%)
eSafe 7.0.17.0 2010.05.13 Win32.Banker).
Ошибка приложения. Инструкция по адресу "0x7ffa19d6" обратилась к памяти по адресу "0x3cffa763". Память не может быть "written". При ответе как OK так и Cancel начинается отсчет времени 55сек autority system и компьютер отключается.
- lsass, explorer (и др.) ломятся со всех портов на порт 443 IP 80.246.240.93, 212.6.7.58 и 82.140.110.2. Причем после загрузки ОС в норм. режиме они висят где-то на 15 портах, а как только я запускаю любой браузер и захожу на любой сайт, эти процессы начинают висеть на всех портах, и на сайты после этого больше не зайти.
Ну и постоянный исходящий трафик.

Уже два дня (45 часов) идет проверка CureIt'ом в безопасном режиме без подключения сетевых драйверов. Очень сильно тормозит на проверке директории drivers, скорость сканирования упала до 1 КБ/с. Пока что нашел два инфицированных Trojan.DownLoader.origin и Exploit.PDF.2, два подозрительных (возможно, BATCH.Virus) и три с сообщением Контейнер/Архив содержит инфицированные объекты.

Если есть решение в том случае, то и мне тоже подскажите,пожалуйста, как эту беду можно победить.
21.05.2010, 18:11
AndreyKa

Запустите AVZ. Выполните скрипт через меню Файл:
[code]begin
ExecuteWizard('TSW', 2, 2, true);
QuarantineFile('c:\documents and settings\vitaliy\local settings\application data\google\chrome\application\*.dll','');
QuarantineFile('C:\Program Files\Internet Explorer\*.dll','');
end.[/code]
Пришлите карантин через ссылку [b][color=red]Прислать запрошенный карантин [/color][/b] вверху темы, как написано в приложении 3 Правил.
21.05.2010, 18:47
Александра_С

А в каком режиме это надо сделать? При этом ноут должен быть в сети или нет?
21.05.2010, 18:59
AndreyKa

Без разницы.
21.05.2010, 19:03
Александра_С

Попробовала выполнить в безопасном и потом в нормальном режиме без подключенного сетевого провода. Результат один и тот же. В логе выполнения
Quarantine file: failed (error), attemting of direct disk reading (путь)
потом небольшой списочек длл из папки C:\Program Files\Internet Explorer

Папка карантина пустая.

Что делать?
24.05.2010, 12:58
Александра_С

Порты перестали открываться, интернет заработал.

Скопировала папку system32 с зараженного компа на здоровый по сети, при копировании Аваст нашел вирусы, файлы были удалены. Потом по этой папке прошлась CureIt'ом, он нашел дллку с вирусом. Параллельно эти файлы были удалены и на ноуте.

Порты перестали открываться, интернет заработал!

system32
1
File name: 6t1eovo.exe
Malware name: Win32:Rootkit-gen [Rtk]
Malware type: Rootkit
2
File name: djb5R5i.exe
Malware name: Win32:Rootkit-gen [Rtk]
Malware type: Rootkit
3
File name: iRqhf7z.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
4
File name: rGfj5Qx.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
5
File name: sFG0kjU.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
6
File name: tzcgQwz.exe
Malware name: Win32:Malware-gen
Malware type: Virus/Worm
7
masekyvk.dll - вот эта дллка была связана (смотрела по программе Process Monitor) с файликом tmp.tmp
Trojan.Siggen1.30070