Пк не выходит в инет

Printable View

07.10.2010, 15:42
eppa

Пк не выходит в инет

Локалка есть интернета нет.
07.10.2010, 16:24
Bratez

[b]Отключите восстановление системы![/b]
Пофиксите в HijackThis:
[code]
R3 - URLSearchHook: (no name) - - (no file)
F2 - REG:system.ini: Shell=Explorer.exe rundll32.exe beforeglav
O4 - HKLM\..\Run: [gshdholvs] C:\WINDOWS\System32\gshdholvs.exe
O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\widrive32.exe
O4 - HKLM\..\Run: [msnmsgs] C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe
O4 - HKLM\..\Run: [Driversys] C:\WINDOWS\iydmktk.exe
O4 - HKLM\..\Run: [VGA] C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe
O4 - HKLM\..\Run: [876] C:\WINDOWS\system32\umdmgr.exe
O4 - HKLM\..\Run: [291] C:\WINDOWS\system32\umdmgr.exe
O4 - HKCU\..\Run: [Tok-Cirrhatus-3081] "C:\Documents and Settings\Ekaterina\Local Settings\Application Data\br7185on.exe"
O4 - HKCU\..\Run: [gshdholvs] C:\Documents and Settings\Ekaterina\gshdholvs.exe
O4 - HKCU\..\Run: [msnmsgs] C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe
O4 - HKCU\..\Run: [Driversys] C:\WINDOWS\iydmktk.exe
O4 - HKCU\..\Run: [VGA] C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe
O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\widrive32.exe
O4 - HKLM\..\Policies\Explorer\Run: [msnmsgs] C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe
O4 - HKLM\..\Policies\Explorer\Run: [Driversys] C:\WINDOWS\iydmktk.exe
O4 - HKLM\..\Policies\Explorer\Run: [VGA] C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe
[/code]
Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\sysmngsr322.exe','');
QuarantineFile('D:\autorun.inf','');
QuarantineFile('C:\WINDOWS\widrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\umdmgr.exe','');
QuarantineFile('C:\WINDOWS\iydmktk.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9346339405-7862149016-803051990-2101\mcssc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9366221569-3525584580-919170634-4243\mcssc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-6548189925-4449170652-508821026-5477\mcssc.exe','');
QuarantineFile('C:\Documents and Settings\Ekaterina\gshdholvs.exe','');
QuarantineFile('C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe','');
QuarantineFile('C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe','');
DeleteFile('C:\DOCUME~1\EKATER~1\LOCALS~1\Temp\212.exe');
DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\jfysxir.exe');
DeleteFile('C:\Documents and Settings\Ekaterina\gshdholvs.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9346339405-7862149016-803051990-2101\mcssc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9366221569-3525584580-919170634-4243\mcssc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-6548189925-4449170652-508821026-5477\mcssc.exe');
DeleteFile('C:\WINDOWS\iydmktk.exe');
DeleteFile('C:\WINDOWS\system32\umdmgr.exe');
DeleteFile('C:\WINDOWS\widrive32.exe');
DeleteFile('D:\autorun.inf');
DeleteFile('C:\WINDOWS\sysmngsr322.exe');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: [url]http://virusinfo.info/upload_virus.php?tid=89458[/url]).
Сделайте новые логи.
08.10.2010, 10:33
eppa

Можно ли ка-то по другому выключить востановление системы простым способом не отключается говорит что программа занята попробуйте после перезагрузки. Перегружался все то же.
08.10.2010, 14:43
Bratez

Пропустите это, потом посмотрим.
08.10.2010, 17:22
eppa

Done
08.10.2010, 17:48
Bratez

Выполните скрипт в AVZ:
[code]
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
ClearQuarantine;
QuarantineFile('F:\autorun.inf','');
QuarantineFile('C:\WINDOWS\system32\SiteAccess.dll','');
QuarantineFile('C:\WINDOWS\klukfnc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-9488609074-3075682041-398127355-2302\mcssc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-5940777086-4394566450-123161176-3060\mcssc.exe','');
QuarantineFile('C:\Documents and Settings\Ekaterina\Application Data\aehtavf.exe','');
DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\aehtavf.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9488609074-3075682041-398127355-2302\mcssc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-5940777086-4394566450-123161176-3060\mcssc.exe');
DeleteFile('C:\WINDOWS\klukfnc.exe');
DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
DeleteFile('F:\autorun.inf');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
ExecuteRepair(6);
RegKeyIntParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows\CurrentVersion\policies\NonEnum', '{BDEADF00-C265-11D0-BCED-00A0C90AB50F}', 1);
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RebootWindows(true);
end.[/code]
Компьютер перезагрузится.
Пришлите новый карантин согласно приложению 3 правил.

Проверьте, появилась ли возможность отключить восстановление системы. Если да - отключите.

Сделайте новые логи (HijackThis не забывайте).
12.10.2010, 13:54
eppa

Done. Прислал 2 карантина так как в разные дни делал. Псмотрите.
12.10.2010, 15:15
DefesT

Закройте все программы, выполните скрипт в AVZ:[CODE]begin
RegKeyIntParamWrite('HKLM','SOFTWARE\Policies\Microsoft\Windows NT\SystemRestore','DisableSR',1);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\toppuimme');
RegKeyResetSecurity('HKLM', 'SYSTEM\CurrentControlSet\Services\toppuimme\Parameters');
DeleteFile('C:\RECYCLER\S-1-5-21-5940777086-4394566450-123161176-3060\mcssc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-9488609074-3075682041-398127355-2302\mcssc.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-0362012291-5324705066-019239513-2534\mcssc.exe');
DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\aehtavf.exe');
DeleteFile('C:\WINDOWS\system32\SiteAccess.dll');
DeleteFile('F:\autorun.inf');
DeleteFile('F:\TMPFILE\autorun.exe');
DeleteFile('C:\WINDOWS\klukfnc.exe');
DeleteFile('C:\WINDOWS\klukfnc.exe');
DeleteFile('C:\WINDOWS\vpvcxur.exe');
DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\nepthah.exe');
DeleteFile('C:\WINDOWS\udetqqv.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','msnmsgs');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys');
RegKeyStrParamWrite( 'HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows', 'AppInit_DLLs', '');
RegKeyParamDel('HKLM', 'Software\Microsoft\Windows NT\CurrentVersion\Winlogon', 'Taskman');
RegKeyIntParamWrite('HKLM','SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer','NoDriveTypeAutoRun', 221);
BC_ImportDeletedList;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.[/CODE]
После выполнения скрипта компьютер перезагрузится! Сделайте новые логи по правилам
12.10.2010, 17:46
eppa

all done. Теперь флешки не открываются пишет нет доступа.
13.10.2010, 09:21
thyrex

Сделайте лог [url="http://virusinfo.info/showpost.php?p=493610&postcount=1"]ComboFix[/url]

Сделайте лог [url="http://virusinfo.info/showpost.php?p=457118&postcount=1"]полного сканирования МВАМ[/url]
14.10.2010, 13:09
eppa

Сделал. Только логов mbam-setup-1.46.exe в папке не было она пустая была я просто сохранил отчет о сканировании.
15.10.2010, 14:33
eppa

Так что? Есть что-то?
15.10.2010, 16:07
DefesT

Удалите [URL="http://virusinfo.info/showpost.php?p=493584&postcount=2"]в mbam[/URL]
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.[/CODE]
Выполните скрипт в AVZ:[CODE]begin
QuarantineFile('c:\documents and settings\Ekaterina\csrss.exe','');
QuarantineFile('c:\windows\uwlapsi.exe','');
QuarantineFile('c:\windows\upshouu.exe','');
QuarantineFile('c:\windows\knqkmsq.exe','');
QuarantineFile('c:\windows\khxqlud.exe','');
QuarantineFile('c:\windows\system32\winlogon.exe','');
end.
[/CODE]
Если из этих файлов что-нибудь попадет в карантин, то пришлите по правилам
Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
[CODE]KillAll::

File::
c:\documents and settings\Ekaterina\csrss.exe

Driver::
toppuimme

NetSvc::
toppuimme

Folder::

Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"8272:TCP"=-

FileLook::

DirLook::
[/CODE]
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.
[IMG]http://i076.radikal.ru/1003/e5/554faea12baf.gif[/IMG]
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.
18.10.2010, 17:35
eppa

Все сделал
19.10.2010, 18:12
eppa

Чисто?
20.10.2010, 12:33
DefesT

[QUOTE]c:\windows\uwlapsi.exe
c:\windows\upshouu.exe
c:\windows\knqkmsq.exe
c:\windows\khxqlud.exe[/QUOTE]
эти файлы удалите вручную
Удалите в mbam
[CODE]Зараженные ключи в реестре:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken.[/CODE]
в остальном чисто
20.10.2010, 16:40
eppa

[QUOTE]c:\windows\uwlapsi.exe
c:\windows\upshouu.exe
c:\windows\knqkmsq.exe
c:\windows\khxqlud.exe[/QUOTE] Это удалил

А вот [QUOTE]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken[/QUOTE]

не получается mbam удаляет перегружается а после проверки опять все на месте. Пытался руками в реестре этого нет
21.10.2010, 16:36
eppa

как удалить[CODE]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\SafeBoot\Network\AtapiDrv.sys (Rootkit.Agent) -> No action taken
[/CODE]
22.10.2010, 21:42
thyrex

Логи AVZ сделайте новые
25.10.2010, 13:30
eppa

Логи:
25.10.2010, 16:31
thyrex

Выполните скрипт в AVZ
[code]begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\pdahibkm.dll','');
QuarantineFile('C:\WINDOWS\botqqrc.exe','');
QuarantineFile('C:\RECYCLER\S-1-5-21-1609785514-2578632129-855939786-6290\mcssc.exe,explorer.exe,C:\RECYCLER\S-1-5-21-4709244216-9281633852-952789237-6650\mcssc.exe,Explorer.exe','');
QuarantineFile('C:\Documents and Settings\Администратор\Application Data\xhnmojy.exe','');
QuarantineFile('C:\Documents and Settings\Ekaterina\Application Data\ppxpnsi.exe','');
DeleteFile('C:\Documents and Settings\Ekaterina\Application Data\ppxpnsi.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','msnmsgs');
DeleteFile('C:\Documents and Settings\Администратор\Application Data\xhnmojy.exe');
DeleteFile('C:\RECYCLER\S-1-5-21-1609785514-2578632129-855939786-6290\mcssc.exe,explorer.exe,C:\RECYCLER\S-1-5-21-4709244216-9281633852-952789237-6650\mcssc.exe,Explorer.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','VGA');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','VGA');
DeleteFile('C:\WINDOWS\botqqrc.exe');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','Driversys');
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Driversys');
DeleteFile('C:\WINDOWS\system32\pdahibkm.dll');
RegKeyParamDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\toppuimme\Parameters','ServiceDll');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');
RebootWindows(true);
end. [/code]Компьютер перезагрузится.

Пришлите карантин согласно [B]Приложения 3[/B] правил по красной ссылке [COLOR="Red"][U][B]Прислать запрошенный карантин[/B][/U][/COLOR] вверху темы

Сделайте новые логи + лог МВАМ
26.10.2010, 10:41
eppa

Логи AVZ:
26.10.2010, 22:09
thyrex

[QUOTE='thyrex;724441']+ лог МВАМ[/QUOTE]где?
27.10.2010, 10:45
eppa

сейчас просто не успел тогда
28.10.2010, 09:34
eppa

Логи
28.10.2010, 17:33
eppa

Ну как логи?
29.10.2010, 17:33
CyberHelper

Итог лечения

Статистика проведенного лечения:
[LIST][*]Получено карантинов: [B]6[/B][*]Обработано файлов: [B]74[/B][*]В ходе лечения обнаружены вредоносные программы:
[LIST=1][*] c:\\documents and settings\\администратор\\application data\\xhnmojy.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\docume~1\\ekater~1\\locals~1\\temp\\212.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-6548189925-4449170652-508821026-5477\\mcssc.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-9346339405-7862149016-803051990-2101\\mcssc.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\recycler\\s-1-5-21-9366221569-3525584580-919170634-4243\\mcssc.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\botqqrc.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\iydmktk.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\khxqlud.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\knqkmsq.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\sysmngsr322.exe - [B]Worm.Win32.AutoRun.gng[/B] ( DrWEB: Win32.HLLW.Autoruner.7323, BitDefender: Trojan.Dropper.Agent.UQJ, AVAST4: Win32:Inject-XW [Trj] )[*] c:\\windows\\system32\\umdmgr.exe - [B]Trojan.Win32.VBKrypt.jus[/B] ( DrWEB: Trojan.DownLoad.35732, BitDefender: Trojan.Generic.4903778, AVAST4: Win32:Rebhip-AC [Trj] )[*] c:\\windows\\upshouu.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\uwlapsi.exe - [B]P2P-Worm.Win32.Palevo.awkf[/B] ( DrWEB: Win32.HLLW.Lime.1384, BitDefender: Trojan.Generic.5742144, NOD32: Win32/Peerfrag.IN worm, AVAST4: Win32:Malware-gen )[*] c:\\windows\\widrive32.exe - [B]Trojan.Win32.Jorik.SdBot.el[/B] ( DrWEB: Trojan.AVKill.2, BitDefender: Trojan.Swizzor.16561, AVAST4: Win32:Rebhip-AC [Trj] )[/LIST][/LIST]