Вылетает из интернета

[Slaer]

Привет,
Такая проблема:
После нескольких минут в инете материнка начинает пищать,в диспетчере задач,в процессах появляеться ерунда типа windhlgaj.exe,winndlll и т.п.,а также winresponse32(За что он отвечает?),после этого компьютер тормозит и соединение обрывается.
Подскажите в чём может быть дело,после переустановки виндоуса-тоже самое,раньше такого небыло...

[AndreyKa]

Для общего развития:
http://security-advisory.newmail.ru/EBook.htm
А для получения помощи тут надо выполнить Правила.

[Slaer]

Здрасте ещё раз,
Всё тоже,только теперь писк исчез и стала вылетать ошибка с сылкой на shared-admin.com,я так понял,что у меня бот,типа трояна,который создаёт winXXX файлы,хотя вам лучше знать,вообщем вот логи,рассчитываю на вашу помошь,заранее спасибо...

P.S.virusinfo_cure.rar не загружался из-за размера,пришлось переархивировать,но думаю ничего страшного в этом нет =)

[Bratez]

1. virusinfo_cure.rar уберите, нужен был virusinfo_syscure.zip

2. Обратите внимание:

>>>> Опасно - файл avz.exe изменен, его CRC не прошла контроль по базе безопасных

Похоже на поражение файловым вирусом.
Скачайте утилиту CureIt (http://www.drweb.ru/download/1028/), а также заново AVZ и HijackThis на другом компьютере и запишите на CD (перед записью архивы распаковать, базу AVZ обновить). Запустите CureIt на своем в безопасном режиме прямо с CD. Необходимо сделать полную проверку компьютера.

3. Cкопируйте AVZ и HijackThis с CD на свой жесткий диск.
Выполните скрипт в AVZ:

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('C:\Program Files\TrustIn Contextual\trustincontext.dll','');
 QuarantineFile('C:\WINDOWS\inetloader.dll','');
 QuarantineFile('C:\Program Files\ConnectionServices\ConnectionServices.dll','');
 QuarantineFile('C:\WINDOWS\system32\fontsubs.dll','');
 QuarantineFile('C:\WINDOWS\system32\wmimgr32.dll','');
 QuarantineFile('C:\WINDOWS\system32\rundll32.exe','');
 QuarantineFile('C:\WINDOWS\system32\Bejjjmqc.dll','');
 QuarantineFile('C:\WINDOWS\Explorer.EXE','');
 QuarantineFile('C:\DOCUME~1\Vic\LOCALS~1\Temp\rrgriyrc.brz','');
 DeleteFile('C:\DOCUME~1\Vic\LOCALS~1\Temp\rrgriyrc.brz');
 DeleteFile('C:\WINDOWS\system32\Bejjjmqc.dll');
 DeleteFile('C:\WINDOWS\system32\wmimgr32.dll');
 DeleteFile('C:\WINDOWS\system32\fontsubs.dll');
 DeleteFile('C:\Program Files\ConnectionServices\ConnectionServices.dll');
 DeleteFile('C:\WINDOWS\inetloader.dll');
BC_ImportALL;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

Компьютер перезагрузится.

4. Пришлите карантин согласно приложению 3 правил.

5. Пофиксите в HijackThis:

Код:

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
O2 - BHO: ChangerBHO Class - {0edc6c20-a31c-11db-8ab9-0800200c9a66} - C:\WINDOWS\system32\fontsubs.dll (file missing)
O2 - BHO: ConnectionServices module - {6D7B211A-88EA-490c-BAB9-3600D8D7C503} - C:\Program Files\ConnectionServices\ConnectionServices.dll
O2 - BHO: WeeklyExecuter Class - {f015f320-ab08-11db-abbd-0800200c9a66} - C:\WINDOWS\inetloader.dll (file missing)
O22 - SharedTaskScheduler: System Desktop Handler - {52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D} - C:\WINDOWS\system32\Bejjjmqc.dll

6. Сделайте новые логи.

[AndreyKa]

Slaer, на диске E: установленна еще одна Windows?

[Slaer]

AndreyKa
Нет,у мня диск на 80гб разбит на два E(~64) и C(~5.6),виндоус на С.
Плюс еще на 300гб винт D.

[Slaer]

O22 - SharedTaskScheduler: System Desktop Handler - {52F7FFDF-D0CF-5CC3-5F4F-C6D8F7D65F0D} - C:\WINDOWS\system32\Bejjjmqc.dll

Нету этой строки...

Пришлите карантин согласно приложению 3 правил.

Прислал...

Сделайте новые логи

Сделал...

P.S.К сожалению у меня нет возможности записать на диск на другом компьютере,скачал файлы с интернета прямо на флешку,без авторана...
Если так не получиться,то придёться к другу идти...

[V_Bond]

из попавших вкарантин ... (по вирустотал)
C:\WINDOWS\Explorer.EXE -чистый
C:\WINDOWS\system32\rundll32.exe -чистый

C:\Program Files\TrustIn Contextual\trustincontext.dll поищите при помощи AVZ -сервис поиск файлов на диске если найдется пришлите по правилам ..

[Slaer]

C:\Program Files\TrustIn Contextual\trustincontext.dll поищите при помощи AVZ -сервис поиск файлов на диске если найдется пришлите по правилам ..

Ненашло,но похоже проблема исчезла,плкрайней мере раньше она проявлялась в течении получаса,спасибо!

Есть что-то ещё,что нужно сделать\проверить?

[V_Bond]

похоже все чисто ...

[AndreyKa]

Касперский обозвал файл C:\WINDOWS\system32\rundll32.exe - Virus.Win32.AutoRun.wi
Замените его в Безопасном режиме загрузки Windows на приложенный.

[V_Bond]

вот это как выглядит сейчас ...(час назад все молчали)

Код:

AhnLab-V3	2007.10.20.0	2007.10.19	-
AntiVir	7.6.0.27	2007.10.20	-
Authentium	4.93.8	2007.10.19	-
Avast	4.7.1051.0	2007.10.19	-
AVG	7.5.0.488	2007.10.20	-
BitDefender	7.2	2007.10.20	-
CAT-QuickHeal	9.00	2007.10.20	-
ClamAV	0.91.2	2007.10.20	-
DrWeb	4.44.0.09170	2007.10.20	-
eSafe	7.0.15.0	2007.10.15	-
eTrust-Vet	31.2.5225	2007.10.20	-
Ewido	4.0	2007.10.20	-
FileAdvisor	1	2007.10.20	-
Fortinet	3.11.0.0	2007.10.19	-
F-Prot	4.3.2.48	2007.10.19	-
F-Secure	6.70.13030.0	2007.10.19	-
Ikarus	T3.1.1.12	2007.10.20	-
Kaspersky	7.0.0.125	2007.10.20	Virus.Win32.AutoRun.wi
McAfee	5145	2007.10.19	-
Microsoft	1.2908	2007.10.20	-
NOD32v2	2604	2007.10.19	-
Norman	5.80.02	2007.10.19	-
Panda	9.0.0.4	2007.10.20	-
Prevx1	V2	2007.10.20	-
Rising	19.45.52.00	2007.10.20	-
Sophos	4.22.0	2007.10.20	-
Sunbelt	2.2.907.0	2007.10.20	-
Symantec	10	2007.10.20	-
TheHacker	6.2.9.101	2007.10.20	-
VBA32	3.12.2.4	2007.10.19	-
VirusBuster	4.3.26:9	2007.10.20	-
Дополнительная информация
File size: 33280 bytes
MD5: b708196594bf06d2ada359a716e994d7
SHA1: 64f183cf4300a37e34bd36ca3cc8465486f3a569

[CyberHelper]

Статистика проведенного лечения:

• Получено карантинов: 1
• Обработано файлов: 3
• В ходе лечения обнаружены вредоносные программы:
  
  1. c:\\windows\\system32\\rundll32.exe - Worm.Win32.AutoRun.all