Показано с 1 по 19 из 19.

Не могу подключиться к домену после лечения вирусов. (заявка № 11454)

  1. #1
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39

    Thumbs up Не могу подключиться к домену после лечения вирусов.

    1. В один прекрасный день обнаружил что не могу подключиться к домену - не вижу ни других компов, ни принтеров. С помощью корпоративного Norton Antivirus обнаружил Win32.Spybot.Worm . Вылечил по инструкциям с symantec.com.

    2. Проблема не решилась, переустановил драйвера карты - то же самое. Попробовал AVZ, но мало что понял, увидел только что функция NtConnect перехватывается.

    3. Решил написать сюда, пошел выполнять правила. Нортон не нашел ничего. CureIt нашел и удалил 4 штуки Backdoor.IRC

    Ipconfig показывает что netbios other TCP/IP отключен, хотя в настройках TCP/IP включен всегда.

    Помогите пожалуйста
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    03.04.2006
    Сообщений
    21,108
    Вес репутации
    3001
    @Сергей2408
    пофиксите
    O4 - HKLM\..\RunServices: [WinLink] winlink32.exe
    O20 - Winlogon Notify: f3dsl - lsd_f3.dll (file missing)
    выполните скрипт
    Код:
    begin
     QuarantineFile('winlink32.exe','');
     QuarantineFile('lsd_f3.dll','');
     QuarantineFile('c:\windows\system32\dvssvc.exe','');
    end.
    Закачайте карантин по правилам.
    Java RE было бы хорошо обновить.
    Последний раз редактировалось Rene-gad; 31.07.2007 в 16:43. Причина: забыл :)

  4. #3
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    скрипт не сработал:
    Ошибка карантина файла "winlink32.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "winlink32.exe", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "lsd_f3.dll", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Ошибка карантина файла "lsd_f3.dll", попытка прямого чтения
    Карантин с использованием прямого чтения - ошибка
    Файл "c:\windows\system32\dvssvc.exe" успешно помещен в карантин
    Выполнен карантин файла c:\windows\system32\dvssvc.exe

  5. #4
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    dvssvc.exe - Backdoor.Win32.SdBot.aad.

    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     DelCLSID('CAFEEFAC-0014-0001-0001-ABCDEFFEDCBA');  
     BC_QrFile('C:\WINDOWS\system32\pdf995mon.dll');
     BC_QrFile('C:\WINDOWS\system32\Com\rundll.exe');  
     BC_DeleteFile('c:\windows\system32\dvssvc.exe');
     BC_DeleteFile('C:\WINDOWS\system32\Com\rundll.exe');  
     BC_Activate;
     ExecuteSysClean;
     ClearHostsFile;  
     RebootWindows(true);
    end.
    Загрузите карантин по этой ссылке. Повторите логи.

  6. #5
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    Поле скрипта в карантине пусто, после стандартных скриптов для логов - только один файл. Загрузил.
    Вложения Вложения

  7. #6
    Visiting Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    25.02.2007
    Сообщений
    8,033
    Вес репутации
    1695
    Выполните скрипт в AVZ
    Код:
    begin
     ClearQuarantine;
     BC_QrFile('C:\WINDOWS\$NtUninstall*\*.*');
     BC_QrFile('c:\windows\system32\nwprovau.dll');  
     BC_DeleteFile('c:\windows\system32\dvssvc.exe');
     BC_Activate;
     ExecuteSysClean;
     RebootWindows(true);
    end.
    "Пофиксите" в HijackThis
    Код:
    R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
    R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank
    O2 - BHO: DWABrowserHlprObj Class - {2709D830-B643-4e72-9A1E-701CFFFCF30C} - C:\WINDOWS\system32\dwabho.dll
    O2 - BHO: (no name) - {E56532F6-482A-4706-85A6-B48AD63ABB23} - (no file)
    O4 - HKLM\..\Run: [anvshell] anvshell.exe
    O4 - HKLM\..\Run: [LiveNote] livenote.exe
    O18 - Filter hijack: text/html - (no CLSID) - (no file)
    O18 - Filter: text/plain - (no CLSID) - (no file)
    Загрузите карантин по этой ссылке. Повторите логи.

  8. #7
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    В карантине опять один файл.
    Не фиксится строчка:
    O18 - Filter hijack: text/html - (no CLSID) - (no file)

    При следующем сканировании псоле удаления опять оказывается на своем месте. Пробовал несколько раз
    Вложения Вложения

  9. #8
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    ап.

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Выполните скрипт -
    Код:
    begin
     QuarantineFile('C:\WINDOWS\system32\Com\rundll.exe','');
     QuarantineFile('C:\WINDOWS\System32\DRIVERS\tcpip.sys','');
     QuarantineFile('C:\WINDOWS\system32\pdf995mon.dll','');
     QuarantineFile('c:\windows\system32\dvssvc.exe','');
     QuarantineFile('c:\windows\system32\nwprovau.dll','');
     BC_DeleteSvc('dvssf');
     BC_ImportQuarantineList;
     BC_Activate;
     RebootWindows(true);
    end.
    Пришлите то, что окажется в карантине.

  11. #10
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    Прислал. Только три файла

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для RiC
    Регистрация
    22.04.2005
    Сообщений
    1,988
    Вес репутации
    548
    Цитата Сообщение от Сергей2408 Посмотреть сообщение
    Только три файла
    Спасибо, подождём ответа от вирусных аналитиков, 2-й лог AVZ повторите ещё раз.

  13. #12
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    Проблема так и не решена. Повторяю полностью свежие логи.
    Вложения Вложения

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    26.12.2006
    Адрес
    Vladivostok
    Сообщений
    23,299
    Вес репутации
    1555
    Ipconfig показывает что netbios other TCP/IP отключен, хотя в настройках TCP/IP включен всегда.
    Здесь речь не о TCP/IP, именно о NetBios over TCP/IP.
    1. Запустите services.msc и убедитесь, что работают службы:
    - Модуль поддержки NetBios через TCP/IP (NetBios over TCP/IP Helper)
    - Обозреватель компьютеров (Computer Browser)
    - Сервер (Server)
    2. Откройте свойства подключения локальной сети, выберите "Протокол интернета TCP/IP", нажмите Свойства - Дополнительно - Wins и обратите внимание на группу "Параметры NetBios": должно быть "По умолчанию" или "Включить".
    I am not young enough to know everything...

  15. #14
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    Я это и имел в иду, что в настройках TCP/IP включен Netbios over TCP/IP.

    Цитата Сообщение от Bratez Посмотреть сообщение
    Здесь речь не о TCP/IP, именно о NetBios over TCP/IP.
    1. Запустите services.msc и убедитесь, что работают службы:
    - Модуль поддержки NetBios через TCP/IP (NetBios over TCP/IP Helper)".
    Работает (Авто)
    - Обозреватель компьютеров (Computer Browser)
    Работает (Авто)
    - Сервер (Server)
    Работает (Авто)
    2. Откройте свойства подключения локальной сети, выберите "Протокол интернета TCP/IP", нажмите Свойства - Дополнительно - Wins и обратите внимание на группу "Параметры NetBios": должно быть "По умолчанию" или "Включить".
    Включить NetBIOS через TCP/IP

    Создание нового подключения, равно как и переустановка драйверов сетевой платы не помогают.

  16. #15
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    Цитата Сообщение от Сергей2408 Посмотреть сообщение
    Проблема так и не решена. Повторяю полностью свежие логи.
    проверь настройки сетки на соседнем компьютере. Все закладки, относящиеся к TCP/IP
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  17. #16
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    Это все уже проверено сто раз.
    С вирусами-то никак это не связано?

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Muzzle
    Регистрация
    07.02.2007
    Адрес
    Владивосток
    Сообщений
    1,068
    Вес репутации
    66
    Попробуйте утилитку WinsockFix
    только учтите,она сбрасывает все сетевые настройки,поэтому лучше их записать.

  19. #18
    Junior Member Репутация
    Регистрация
    31.07.2007
    Сообщений
    10
    Вес репутации
    39
    Цитата Сообщение от Muzzle Посмотреть сообщение
    Попробуйте утилитку WinsockFix
    Спасибо огромное! Наконец-то все встало на свои места.
    И спасибо всем кто помог отловить троянов

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 5
    • Обработано файлов: 7
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\dvssvc.exe - Backdoor.Win32.DsBot.mp (DrWEB: Win32.HLLW.MyBot)


  • Уважаемый(ая) Сергей2408, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Не могу подключиться
      От Wurf в разделе Помогите!
      Ответов: 61
      Последнее сообщение: 14.06.2010, 12:52
    2. Ответов: 6
      Последнее сообщение: 28.03.2010, 18:23
    3. Ответов: 2
      Последнее сообщение: 11.03.2010, 18:37
    4. не могу подключиться к интернету
      От AlexeyBubnov в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 25.09.2009, 18:34
    5. Ответов: 0
      Последнее сообщение: 31.08.2008, 13:08

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00167 seconds with 17 queries