Перестали открываться интренет-страницы в любом браузере. Причем сайты пингуются но не открываются - очень-очень долго браузер думает и потом выдает что станица не найдена.
Логи прикрепил.
Printable View
Перестали открываться интренет-страницы в любом браузере. Причем сайты пингуются но не открываются - очень-очень долго браузер думает и потом выдает что станица не найдена.
Логи прикрепил.
Закройте все открытые приложения, кроме АVZ и Internet Explorer.
Отключите
- ПК от интернета/локалки
- [B][COLOR="Red"]Обязательно!!! Системное восстановление!!![/COLOR][/B][URL="http://virusinfo.info/pravila_old.html"] как- посмотреть можно тут[/URL]
- Выгрузите антивирус и/или Файрвол
- Закройте все программы
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFileMask('C:\Documents and Settings\Multik\Local Settings\Temporary Internet Files\Content.IE5', '*.*', true);
QuarantineFile('C:\WINDOWS\explorer.exe','');
QuarantineFile('C:\WINDOWS\system32\sfcfiles.dll','');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW', 2, 2, true);
ExecuteWizard('SCU', 2, 2, true);
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- выполните такой скрипт
[CODE]begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.[/CODE]
- Файл [B][COLOR="Red"]quarantine.zip[/COLOR][/B] из папки AVZ загрузите по ссылке [B][COLOR="Red"]Прислать запрошенный карантин[/COLOR][/B] вверху темы
- Сделайте повторные логи по [URL="http://virusinfo.info/pravila_old.html"]правилам[/URL] п.2 и 3 раздела Диагностика.(virusinfo_syscheck.zip; hijackthis.log;)
Сделал. Вот новые логи. Еще заметил что в журнале работы системы есть такие ошибки:
[CODE]Ошибка DCOM "Указанная служба не может быть запущена, поскольку она отключена или все связанные с ней устройства отключены. " при попытке запуска службы wuauserv с аргументами "" для запуска сервера:
{E60687F7-01A1-40AA-86AC-DB1CBF673334}[/CODE]
и
[CODE]Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.[/CODE]
И еще вот что выяснил - очень-очень много открытых соединений по TCP/IP (порядка 1700)
Прикрепляю файл отчет по команде [B]netstat -n[/B]
- [URL="http://virusinfo.info/showthread.php?t=7239"]Выполните скрипт в AVZ[/URL]
[CODE]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RenameFile('C:\WINDOWS\System32\sfcfiles.dll', 'C:\WINDOWS\System32\sfcfiles.bak');
CopyFile('C:\WINDOWS\System32\dllcache\sfcfiles.dll','C:\WINDOWS\System32\sfcfiles.dll');
DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_ImportAll;
ExecuteSysClean;
BC_DeleteFile('C:\WINDOWS\System32\sfcfiles.bak');
BC_Activate;
RebootWindows(true);
end.[/CODE]
После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip;
Сделал. Это при выключенном интернете.
что-то еще беспокоит?
Но как только включаю интернет опять появляется куча открытых сесий на несколько IP. Вот логи при включенном интернете.
Ну и при этом спустя пару минут перестают открываться сайты все..., т.е. проблема пока осталась.
И еще - очень большое количество дескрипторов (больше 4000) у процесса system:
[IMG]http://i5.fastpic.ru/big/2010/0531/aa/ceb3d3ebb94deb2705554034859f79aa.jpg[/IMG]
сделайте лог [URL="http://virusinfo.info/showthread.php?t=58309"]Combofix[/URL]
Готово
Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\fc40dc00.exe','');
QuarantineFile('c:\windows\system32\22cbb2af.exe','');
QuarantineFile('c:\windows\system32\SWedHKb.exe','');
QuarantineFile('c:\windows\system32\megvdbiq.dll','');
end. [/code]
Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы
Отправил. Пароль на архив - virus
c:\windows\System32\sfcfiles.dll восстановите с дистрибутива [url]http://virusinfo.info/showthread.php?t=51654[/url]
Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('c:\windows\system32\fc40dc00.exe');
DeleteFile('c:\windows\system32\22cbb2af.exe');
DeleteFile('c:\windows\system32\SWedHKb.exe');
DeleteFile('c:\windows\system32\megvdbiq.dll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.
[URL="http://virusinfo.info/showpost.php?p=500136&postcount=2"]Удалите ComboFix[/URL]
Что сейчас с проблемой?
Машинка на работе осталась, завтра сделаю и о результатах сообщу.
будем ждать
да, помогло. Все теперь прекрасно работает. Спасибо.
Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]2[/B][*]Обработано файлов: [B]7[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\windows\system32\megvdbiq.dll - [B]Backdoor.Win32.Shiz.gen[/B] ( DrWEB: Trojan.DownLoad1.63698, BitDefender: Trojan.Generic.4128395 )[*] c:\windows\system32\sfcfiles.dll - [B]Trojan-Spy.Win32.Agent.bgah[/B] ( AVAST4: Win32:Agent-OJW [Trj] )[/LIST][/LIST]
Рекомендации:
[LIST=1][*]Обнаружены троянские программы класса Trojan-PSW/Trojan-Spy - настоятельно рекомендуется поменять все пароли ![/LIST]