Не могу подключиться

Printable View

Показывать 40 сообщений этой темы на одной странице

08.06.2010, 15:15
Wurf

Вложений: 3

Не могу подключиться

Я подключаюсь к Интернету, запускаю браузер, захожу на какую-нибудь страницу - страница не загружается, а через некоторое время (секунд 20-30) появляется сообщение о том, что не удалось связаться с провайдером. Я нажимаю кнопку "Повторный звонок", подключаюсь снова, но всё повторяется. И так надо подключаться, пока не получится, а это очень долго :) В техподдержке сказали, что отключение происходит по запросу пользователя, т. е. возможно действие какого-то вируса. Помогите, пожалуйста.
08.06.2010, 15:25
ARMA9000

[url]http://virusinfo.info/pravila.html[/url] - прочитайте и выполните.
08.06.2010, 15:46
Wurf

[QUOTE=ARMA9000;651406][url]http://virusinfo.info/pravila.html[/url] - прочитайте и выполните.[/QUOTE]

Дык я сделал уже всё. И логи вон, есть.
08.06.2010, 16:30
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47C5CNH4\6[1].exe','');
QuarantineFile('C:\WINDOWS\system32\XP-F17736E7.EXE','');
QuarantineFile('C:\WINDOWS\system32\z\B7879.exe','');
QuarantineFile('C:\WINDOWS\system32\z\J002.exe','');
QuarantineFile('C:\WINDOWS\system32\z\J001.exe','');
QuarantineFile('sxzx.sys','');
QuarantineFile('C:\WINDOWS\system32\swcswq.exe','');
QuarantineFile('C:\WINDOWS\system32\bsbnso.exe','');
QuarantineFile('C:\WINDOWS\system32\lcxtcg.exe','');
DeleteService('vsrfr');
DeleteService('vsrf');
DeleteService('vs');
DeleteService('sxzx');
DeleteService('QQ Music updates');
DeleteService('QQ Music update3');
DeleteService('QQ Music update2');
SetServiceStart('sxxx', 4);
DeleteService('sxxx');
TerminateProcessByName('c:\windows\system32\ssaso.exe');
QuarantineFile('c:\windows\system32\ssaso.exe','');
DeleteFile('c:\windows\system32\ssaso.exe');
DeleteFile('C:\WINDOWS\system32\lcxtcg.exe');
DeleteFile('C:\WINDOWS\system32\bsbnso.exe');
DeleteFile('C:\WINDOWS\system32\swcswq.exe');
DeleteFile('sxzx.sys');
DeleteFile('C:\WINDOWS\system32\z\J001.exe');
DeleteFile('C:\WINDOWS\system32\z\J002.exe');
DeleteFile('C:\WINDOWS\system32\z\B7879.exe');
DeleteFile('C:\WINDOWS\system32\XP-F17736E7.EXE');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','XP-F17736E7');
DeleteFile('C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files\Content.IE5\47C5CNH4\6[1].exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
ExecuteRepair(9);
RegKeyIntParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
08.06.2010, 16:45
Wurf

Ок, попробую.
08.06.2010, 19:38
Wurf

Вложений: 3

Вот новые логи.
09.06.2010, 00:43
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\Msierit32.exe','');
QuarantineFile('Winfewi32.sys','');
DeleteService('Winfewi32');
DeleteService('BackGround switch');
QuarantineFile('c:\documents and settings\localservice\application data\acd sys-tems\acdsee\imagevx.ddfConsole\ntejn.ccd','');
DeleteFile('Winfewi32.sys');
DeleteFile('C:\WINDOWS\system32\Msierit32.exe');
DeleteFile('C:\Program Files\InCode Solutions\RemoveIT Pro v7 Enterprise\Quarantine\ssaso.exe');
DeleteFile('C:\System Volume Information\_restore{18840D7C-9B6E-47D7-982C-F306B7A41C03}\RP221\A0101158.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи
09.06.2010, 09:18
Wurf

Сделал, вот логи.
09.06.2010, 11:59
thyrex

Выполните скрипт
[CODE]var j:integer; NumStr:string;
begin
for j:=0 to 999 do
begin
if j=0 then
NumStr:='CurrentControlSet' else
if j<10 then
NumStr:='ControlSet00'+IntToStr(j) else
if j<100 then
NumStr:='ControlSet0'+IntToStr(j) else
NumStr:='ControlSet'+IntToStr(j);
if RegKeyExistsEx('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv') then
begin
RegKeyResetSecurity('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv');
RegKeyStrParamWrite('HKLM', 'SYSTEM\'+NumStr+'\Services\wuauserv', 'ImagePath', '%SystemRoot%\System32\svchost.exe -k netsvcs');
AddToLog('Значение параметра ImagePath в разделе реестра HKLM\SYSTEM\'+NumStr+'\Services\wuauserv исправлено на оригинальное.');
end;
end;
end.[/CODE]

Сделайте новый лог virusinfo_syscheck.zip + сообщите, решилась ли проблема
09.06.2010, 12:16
Wurf

Честно говоря, эта проблема решилась вроде ещё на первых шагах.
Беспокоит другое: раньше была такая проблема - мышь зависала. Потом она прекратилась на длительное время, я про неё и забыл. Только что было то же самое. Мышь зависает, приходится именно не перезагружать, а выключать и снова включать компьютер, причём соединена мышь с компьютером нормально.
09.06.2010, 12:17
Wurf

И при этом ещё какие-то короткие низкие звуки в колонках, чё за бред... :?
09.06.2010, 12:39
thyrex

Сделайте лог [url]http://virusinfo.info/showpost.php?p=493610&postcount=1[/url]
09.06.2010, 12:58
Wurf

ComboFix почему-то вообще не качается... :(
09.06.2010, 13:08
thyrex

По всем трем ссылкам?
09.06.2010, 13:30
Wurf

По всем.
09.06.2010, 14:24
thyrex

Вы на ссылке кликаете правой кнопкой мыши и выбираете [B]Сохранить объект как[/B]?
09.06.2010, 15:10
Wurf

А, нет.

[size="1"][color="#666686"][B][I]Добавлено через 31 минуту[/I][/B][/color][/size]

Попробовал и просто на ссылку тыкать и "Сохранить объект как" выбирать, вообще никак не качается.
09.06.2010, 15:39
thyrex

Ошибку выдает?
09.06.2010, 17:21
Wurf

Ну да, я качаю в Опере, загрузка дальше 0% не идёт, сразу ошибка.
09.06.2010, 21:14
thyrex

Другие браузеры пробовали или менеджеры закачек?
10.06.2010, 08:52
Wurf

Вот сейчас попробовал снова - скачивается. Скорее всего, из-за AVZ, я последний раз делал логи, забыл перезагрузить компьютер. Сейчас скачаю.
10.06.2010, 09:14
Wurf

Сделал.
10.06.2010, 10:58
thyrex

Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\ipseccmd.exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\B4F6BF7141.sys

Driver::

Folder::
c:\windows\system32\989GVJLK8A
c:\windows\system32\8JS0EFI9SV
c:\windows\system32\7913J9TIRN
c:\windows\system32\Y473STPFXY
c:\windows\system32\H3DIQWYAEA
c:\windows\system32\67N7BS1TLC
c:\windows\system32\5VJ33EEODV
c:\windows\system32\4HQDRQC06A
c:\windows\system32\3N6RHINQUT
c:\windows\system32\0PWZZ65NVC
c:\windows\system32\ZPDL3WMF5P
c:\windows\system32\YOT76M27F1
c:\windows\system32\XTN0NGW4VH
c:\windows\system32\V6HY1XS2ER
c:\windows\system32\VQ31MCYMIX
c:\windows\system32\UXJTNQIFV5
c:\windows\system32\S1WT7KOD20
c:\windows\system32\RENRQPOLUA
c:\windows\system32\ONGX73Z1QG
c:\windows\system32\NEJLBKNJGD
c:\windows\system32\M502IN0ANV
c:\windows\system32\KMDLALX3L3
c:\windows\system32\J0U4X0CVCI
c:\windows\system32\IXGRRJ8B71
c:\windows\system32\H69P55QHRI
c:\windows\system32\GUJE0ESM1M
c:\windows\system32\FQS8RAZSEL
c:\windows\system32\E5MKGC3TNK
c:\windows\system32\D5FZMP
c:\windows\system32\CP1285FFIN
c:\windows\system32\B01FN0Z4BS
c:\windows\system32\AOB3H929LW
c:\windows\system32\79UM4EBK8Z
c:\windows\system32\6BRFFOMFGL
c:\windows\system32\5YOA8A0A84
c:\windows\system32\4BR1T2PSIZ
c:\windows\system32\3FN8GY8QG9
c:\windows\system32\2IS8A5K853
c:\windows\system32\1AEHT8TTC4
c:\windows\system32\1FNUTCB4IN
c:\windows\system32\0N8F7OQRVF
c:\windows\system32\Z8G422E47O
c:\windows\system32\Y7I5MI6IRX
c:\windows\system32\XRD1F94MLN
c:\windows\system32\W4HS01U4VI
c:\windows\system32\VIXBNG8VLW
c:\windows\system32\TSJO7FW3YA
c:\windows\system32\SRRALHJGRM
c:\windows\system32\R77MV3EEXE
c:\windows\system32\LNRE4LUMIM
c:\windows\system32\EQLV7DEZDX
c:\windows\system32\z

Registry::

FileLook::
c:\windows\system32\helpsvcs.url

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.
10.06.2010, 11:27
Wurf

А это всё так же по правилам делать (отключать интернет, антивирус отключать, приложения закрывать и т.д.)?
10.06.2010, 11:38
thyrex

Антивирус отключите, да и лишние приложения тоже
10.06.2010, 11:48
Wurf

Ок.

[size="1"][color="#666686"][B][I]Добавлено через 6 минут[/I][/B][/color][/size]

Карантин не появляется новый!
10.06.2010, 11:50
thyrex

Какой карантин??? Должен появиться новый файл ComboFix.txt
10.06.2010, 11:51
Wurf

"Скрипт выполнен без ошибок" и всё. Захожу в папку Quarantine, новый там не появился.

[size="1"][color="#666686"][B][I]Добавлено через 1 минуту[/I][/B][/color][/size]

[QUOTE=thyrex;652520]Выполните скрипт в AVZ
[code]begin
QuarantineFile('c:\windows\system32\ipseccmd.exe','');
end. [/code]

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Я про это.
10.06.2010, 12:46
thyrex

c:\windows\system32\ipseccmd.exe есть в наличии?

Где новый лог ComboFix?
10.06.2010, 13:03
Wurf

c:\windows\system32\ipseccmd.exe есть в наличии.

Блин, не тот лог отправил, минуту.
10.06.2010, 13:34
Wurf

Вот тот лог.
10.06.2010, 14:28
thyrex

c:\windows\system32\ipseccmd.exe запакуйте с паролем virus и пришлите по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

c:\windows\system32\helpsvcs.url проверьте на [url="http://www.virustotal.com/ru"]virustotal[/url]
Ссылку на результат проверки сообщите
10.06.2010, 15:25
Wurf

[url]http://www.virustotal.com/ru/analisis/17b6678f7e991a4f38c6db479d1ff72377b1e9ce33580380f6e1b19b8bc0332b-1276168785[/url]
10.06.2010, 16:36
thyrex

c:\windows\system32\helpsvcs.url тоже запакуйте и пришлите по красной ссылке
10.06.2010, 20:11
Wurf

Я, конечно, извиняюсь, но у меня снова начался тот глюк, из-за которого я создал эту тему :(

[size="1"][color="#666686"][B][I]Добавлено через 16 минут[/I][/B][/color][/size]

И ещё в диспетчере задач стали появляться около 15 штук каких-то незнакомых процессов.
10.06.2010, 20:13
thyrex

Делайте логи + ComboFix + лог [URL="http://virusinfo.info/showpost.php?p=457118&postcount=1"]МВАМ[/URL]
11.06.2010, 12:50
Wurf

Вложений: 4

Пожалуйста.
11.06.2010, 13:07
thyrex

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[code]KillAll::

File::
c:\windows\system32\helpsvcs.url
C:\s5.exe
C:\s4.exe
C:\s3.exe
C:\s2.exe
c:\windows\system32\fwtfwq.exe
c:\windows\system32\kysce.exe

Driver::

Folder::

Registry::

FileLook::

DirLook::[/code]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

[size="1"][color="#666686"][B][I]Добавлено через 4 минуты[/I][/B][/color][/size]

c:\documents and settings\localservice\application data\acd systems\acdsee\imagevx.ddfConsole\ntejn.ccd есть на диске?
11.06.2010, 13:37
Wurf

Вложений: 1

Нет, этого файла нет.
11.06.2010, 14:56
Wurf

Сделал.

Показывать 40 сообщений этой темы на одной странице