Айпи адрес...

Printable View

09.02.2008, 18:40
giggs

Айпи адрес...

Значит дело в том что у меня поменялся айпи адрес...хз как и хз почему...просто в один момент взял и изменился...
Какой может вирус это сделать...и как это вылечить
PS:Проверял Nod32...ничего...
проверял кучей антиспай программ...что-то удалили но айпи остался изменённым...

Что делать?:(

Из-за изменённого айпи тормозят теперь Онлайн игры...
09.02.2008, 18:41
drongo

[url]http://virusinfo.info/showthread.php?t=1235[/url]
09.02.2008, 19:52
giggs

Вот логи

Собстно логи которые вы просили...прошу...надеюсь вы мне поможете:)
09.02.2008, 20:03
drongo

AVZ Файл - Выполнить скрипт --Скопировать ниже написанный скрипт-- Запустить.
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('spek.sys','');
QuarantineFile('C:\WINX\system32\ntos.exe','');
QuarantineFile('C:\WINX\system32\DRIVERS\SDTHOOK.sys','');
QuarantineFile('C:\WINX\system32\Drivers\kbfilter.sys','');
QuarantineFile('C:\WINX\system32\Drivers\vidstub.sys','');
QuarantineFile('C:\WINX\system32\DRIVERS\tcpip.sys','');
QuarantineFile('C:\WINX\system32\Drivers\spek.sys','');
QuarantineFile('C:\WINX\System32\Drivers\azeylfah.SYS','');
QuarantineFile('C:\WINX\system32\baseqxkha32.dll','');
BC_ImportAll;
BC_Activate;
RebootWindows(true);
end.
[/code]
Прислать карантин согласно приложения 3 правил .
Загружать по ссылке: [url]http://virusinfo.info/upload_virus.php?tid=17808[/url]
09.02.2008, 20:14
akok

Продолжим
2. Пофиксить в HijackThis следующие строчки ( [url]http://virusinfo.info/showthread.php?t=4491[/url] )
[CODE]
O2 - BHO: (no name) - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - (no file)
O2 - BHO: (no name) - {90C8E8F8-A7C9-41E4-92E4-C679AE6FB78D} - (no file)
O2 - BHO: (no name) - {954A0637-9147-4b5e-964E-9F20E58FC29D} - (no file)
[/CODE]
3. Выполните в АВЗ

[CODE]function _DecHex( Dc : Integer) : String;
begin Result := Copy('0123456789abcdef',Dc+1,1); end;
function DecHex( Dec : Integer) : String;
var Di,D1,D2 : integer;
begin
Di := 0; D1 := 0; D2 :=0; While Di < Dec Do Begin d1 := d1 + 1; Di := d1*16-1; end;
If d1 > 0 Then d1 := d1 - 1; D2 := Dec - d1*16; Result :=_DecHex(D1) + _DecHex(D2);
end;
procedure ParseString (S : TStringList; SS : String; SSS : String );
var i,l : integer;
begin
i := Pos(SSS,SS); l := Length(ss);
If l > 1 Then begin If i=0 Then S.Add(ss); If i>0 Then begin
s.Add(Copy(ss,1,i-1)); ParseString(S,Copy(ss,i+1,l-i+1),SSS) end; end;
end;
var SL,SF : TStringList; SS, SSS : String; i : integer;
begin
SS := ''; SSS := ''; SL := TStringList.Create; SF := TStringList.Create;
SS := RegKeyStrParamRead ('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems','Windows');
ParseString (SL,SS,' ');
for i := 0 to SL.Count - 1 do Begin
SS := SL[i];
If Pos('ServerDll=base',SS) > 0 Then Begin
If SS <> 'ServerDll=basesrv,1' Then Begin
AddToLog('Infected "SubSystem" value : ' + SS);
if MessageDLG('Fix "SybSustem" parametrs ?', mtConfirmation, mbYes+mbNo, 0) = 6 then Begin
SSS := SL[i]; SL[i] := 'ServerDll=basesrv,1'; AddToLog('User select "Fix" option.'); end;
end;
end;
end;
SS := ''; for i := 0 to SL.Count - 1 do Begin SS := SS + SL[i]; If SL.Count - 1 > i Then SS := SS + ' '; end;
If SSS <> '' Then Begin
i := Pos(',',SSS); If i = 0 Then i := Length(SSS);
SSS := Copy(SSS, Pos('=',SSS) + 1, i - Pos('=',SSS)-1);
AddToLog('Infection name : ' + SSS + '.dll');
SetAVZGuardStatus(True);
If FileExists('%WinDir%' + '\system32\' + SSS + '.dll') = true then DeleteFile('%WinDir%' + '\system32\' + SSS + '.dll');
SF.Add('REGEDIT4'); SF.Add('');
SF.Add('[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\SubSystems]');
SSS := '"Windows"=hex(2):';
for i := 1 to Length(SS) do SSS := SSS + DecHex(Ord(Copy(SS,i,1))) + ',';
SSS := SSS + '00'; SF.Add(SSS); SF.SaveToFile(GetAVZDirectory + 'fix.reg');
ExecuteFile('reg.exe','IMPORT "' + GetAVZDirectory + 'fix.reg"', 1, 10000, true);
SaveLog(GetAVZDirectory + 'SubSystems.log');
RebootWindows(false);
end;
SL.Free; SF.Free;
End.[/CODE]

[size="1"][color="#666686"][B][I]Добавлено через 2 минуты[/I][/B][/color][/size]

4. [url=http://virusinfo.info/showthread.php?t=7239]AVZ, меню "Файл - Выполнить скрипт" -- Скопировать ниже написанный скрипт-- Нажать кнопку "Запустить".[/url]
[CODE]begin
SearchRootkit(true, true);
SetAVZGuardStatus(true);
DeleteFile('C:\WINX\system32\ntos.exe');
BC_ImportDeletedList;
BC_Activate;
ExecuteSysClean;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится.

Повторите логи. Прикрепите также к сообщению SubSystems.log из папки AVZ.
09.02.2008, 20:54
giggs

логи 2

Значит файл с карантином загрузил...

Фикс в хайджет сделал при первом создании лога...пофиксил всё.

Вот опять все логи из программ.
09.02.2008, 21:14
akok

C:\WINX\system32\ntos.exe - [b]Trojan-Spy.Win32.Zbot.nm[/b]
C:\WINX\system32\baseqxkha32.dll - [b]Trojan.Win32.Agent.edu[/b]
09.02.2008, 21:37
giggs

чтонить ещё будет?=) айпи не исправился:(

[size="1"][color="#666686"][B][I]Добавлено через 19 минут[/I][/B][/color][/size]

Уже исправилось:сохранение cookie при выключении компьютера)раньше они удалялись...

А вот айпи не желает исправлятся:(
09.02.2008, 21:38
V_Bond

у вас ип статический ?
09.02.2008, 21:47
giggs

Да...до недавнего момента он никагда не менялся...и вот поменялся...у миня тсали тормозить онлайн игры...и чуть подтармаживать интернет...что делать?=(
09.02.2008, 21:48
V_Bond

в договоре с провайдером оговорен ваш ип как статический ?
09.02.2008, 21:52
giggs

Да...Внутренний статический айпи...я уже 3 года пользуюсь инетом данного провайдера с одним и тем же айпи. Вот вчира он изменился...явно что-то тут не чиста...можно это изменить?
09.02.2008, 21:57
V_Bond

спрошу по другому ... ваш ап прописан в договоре ...
09.02.2008, 22:03
giggs

да...10.2.97.196...а щас он 77.232.15.34...хз кто и что меняет мне его...хотелось бы это узнать...
09.02.2008, 22:07
V_Bond

Comcor-TV - оно ?
09.02.2008, 22:08
giggs

Да=) АКАДО...Комкор ТВ это вроде одно и тоже
09.02.2008, 22:11
V_Bond

ну это и есть ваш провайдер - они что -то меняли с ними и разбирайтесь ;)
09.02.2008, 22:13
giggs

Тоесть проблем на компе у миня точно нету?
09.02.2008, 22:15
V_Bond

в логах ничего зловредного ....
09.02.2008, 22:21
giggs

хммм...просто если смотреть состояние соединения у миня стоит мой айпи адрес 10.2.97.196...а если просматривать айпи в браузере то стоит этот 77.232.15.34...тоесть у компа мой адрес нормальный...а в инет он выходит как будто использую какуето прогу типа прокси)
09.02.2008, 22:23
V_Bond

77.232.15.34 - адрес прокси вашего провайдера ... (реально видимый в интернет )
10.2.97.196 - ваш адрес в локальной сети ..
09.02.2008, 22:38
giggs

Но раньше то он был один и тот же...тоесть такой же как и был...а теперь стал такой...
09.02.2008, 22:44
akok

А провайдер, что говорит по этому поводу?
09.02.2008, 22:46
giggs

А пока ничего...надеюсь к завтрашнему утру узнаю...если он ничего не менял...то я вам напишу опять...ждите
09.02.2008, 22:52
V_Bond

10.2.97.196 - это адрес зарезервированный и не может быть видим в интернет ...
09.02.2008, 22:57
giggs

ну да...кароч там был не тот что щас)
10.02.2008, 11:36
giggs

Во всём разобрался...мне провайдер просто сменил айпи адрес НАТа...вот поэтому он и поменялся...
А за остальные вирусы спасиба=)
22.02.2009, 03:53
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]1[/B][*]Обработано файлов: [B]24[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\winx\\system32\\baseqxkha32.dll - [B]Trojan.Win32.Agent.edu[/B][*] c:\\winx\\system32\\ntos.exe - [B]Trojan-Spy.Win32.Zbot.nm[/B] (DrWEB: Trojan.Proxy.2684)[/LIST][/LIST]