Показано с 1 по 7 из 7.

Компьютер самопроизвольно корректно перезагружается. (заявка № 31172)

  1. #1
    Junior Member Репутация
    Регистрация
    31.01.2008
    Сообщений
    3
    Вес репутации
    37

    Компьютер самопроизвольно корректно перезагружается.

    Здравствуйте!
    Прошу Вас оказать мне помощь, так как нахожусь в тупике.
    Один из ПК, включенных в локальную сеть начал самопроизвольно перегружаться. При этом перезагрузка происходила таким образом:
    - После загрузки и входа в систему в течении небольшого промежутка времение появлялось сообщение о найденом вирусе (лицензионый NOD)
    - корректно закрывались открытые программы
    - машина уходила в корректную перезагрузку.
    При отключеном сетевом кабеле перезагрузок не было. NOD молчал.

    Я перенес машину для эксперементов в другую локалку.
    Сообщение NOD появилось при подключении сетевого кабеля.
    Перезагрузки прекратились, но стал заметен большой трафик (DNS, SMTP).
    Востановление системы не помогло. Запуск NODa при выключеном востановлении системы ничего не изменил. CureIt обнаружил и удалил несколько вирусов но ситуация осталась прежней.
    Заранее благодарен
    Andy Green
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    скачайте C:\WINDOWS\system32\Drivers\Winwi42.sys - force delete
    выполните скрипт
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('C:\WINDOWS\system32\~.exe/r','');
     QuarantineFile('C:\WINDOWS\system32\braviax.exe','');
     BC_DeleteSvc('Winyt05');
     BC_DeleteSvc('Winxx57');
     BC_DeleteSvc('Winxl52');
     BC_DeleteSvc('Wintu01');
     BC_DeleteSvc('Winsb10');
     BC_DeleteSvc('Winox43');
     BC_DeleteSvc('Winnp13');
     BC_DeleteSvc('Winkb15');
     BC_DeleteSvc('Winha37');
     BC_DeleteSvc('Wingr86');
     BC_DeleteSvc('Winfc75');
     BC_DeleteSvc('Winet67');
     BC_DeleteSvc('Winec57');
     BC_DeleteSvc('Windq67');
     BC_DeleteSvc('Windg13');
     BC_DeleteSvc('Wincs13');
     BC_DeleteSvc('Wincj43');
     BC_DeleteSvc('Wincj25');
     BC_DeleteSvc('Winbv63');
     BC_DeleteSvc('Winbl82');
     BC_DeleteSvc('Winay86');
     BC_DeleteSvc('Winwi42');
     BC_DeleteSvc('W32TimeNtLmSsp');
     BC_DeleteSvc('UPSoseclr_optimization_v2.0.50727_32');
     BC_DeleteSvc('ThemesRasAuto');
     BC_DeleteSvc('stisvcWmi');
     BC_DeleteSvc('srservicewuauserv');
     BC_DeleteSvc('seclogonRpcLocatorRemoteAccessThemes');
     BC_DeleteSvc('seclogonRpcLocator');
     BC_DeleteSvc('RemoteRegistrystisvc');
     BC_DeleteSvc('RemoteRegistry BackItUp Scheduler 3');
     BC_DeleteSvc('RemoteAccessThemes');
     BC_DeleteSvc('RDSessMgrNetDDE');
     BC_DeleteSvc('RasAuto Driver HPZ12');
     BC_DeleteSvc('oseclr_optimization_v2.0.50727_32');
     BC_DeleteSvc('NtmsSvcShellHWDetection');
     BC_DeleteSvc('NtLmSspSharedAccess');
     BC_DeleteSvc('NlaRDSessMgr');
     BC_DeleteSvc('EhttpSrvdmadmin');
     BC_DeleteSvc('dmservermnmsrvc');
     BC_DeleteSvc('BITSVSS');
     BC_DeleteSvc('AudioSrvBrowser');
     BC_DeleteSvc('aspnet_stateSwPrv');
     QuarantineFile('C:\WINDOWS\system32\Drivers\Winwi42.sys','');
     QuarantineFile('C:\WINDOWS\system32\WinCtrl32.dll','');
     DeleteFile('C:\WINDOWS\system32\WinCtrl32.dll');
     DeleteFile('C:\WINDOWS\system32\Drivers\Winwi42.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winay86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbl82.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winbv63.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincj25.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincj43.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wincs13.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windg13.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Windq67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winec57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winet67.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winfc75.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wingr86.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winha37.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winkb15.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winnp13.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winox43.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winsb10.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Wintu01.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxl52.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winxx57.sys');
     DeleteFile('C:\WINDOWS\System32\Drivers\Winyt05.sys');
     DeleteFile('C:\WINDOWS\system32\braviax.exe');
     DeleteFile('C:\WINDOWS\system32\~.exe/r');
     DeleteFile('WinCtrl32.dll');
     DeleteFile('C:\Documents and Settings\All Users\Documents\sys\keyfinder.exe');
    BC_ImportDeletedList;
    ExecuteSysClean;
    BC_Activate;
    RebootWindows(true);
    end.
    пришлите карантин согласно приложения 3 правил
    повторите логи

  4. #3
    Junior Member Репутация
    Регистрация
    31.01.2008
    Сообщений
    3
    Вес репутации
    37

    Сетевая активность пропала.

    Сетевая активность пропала.
    Карантин загрузил.
    Вложения Вложения

  5. #4
    Senior Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    10.01.2007
    Сообщений
    22,817
    Вес репутации
    1501
    выполните скрипт
    Код:
    begin
     QuarantineFile('C:\WINDOWS\TWAIN_32\S6U12BX\SBSpi_T.dll','');
    end.
    пришлите карантин согласно приложения 3 правил

  6. #5
    Junior Member Репутация
    Регистрация
    31.01.2008
    Сообщений
    3
    Вес репутации
    37

    Карантин отправлен

    Карантин отправлен

    Добавлено через 1 час 33 минуты

    Добрался до логов сервера и обнаружил незначительную по трафику сетевую активность по протоколу SNMP.
    Код:
    10:58:31.546167 IP 192.168.1.153.1025 > 10.10.8.20.snmp:  GetRequest(62)  25.3.2.1.5.1 25.3[|snmp]
    10:58:31.600334 IP 10.10.8.20.snmp > 192.168.1.153.1025:  GetResponse(62)  noSuchName@1 25.3.2.1.5.1= 25.3[|snmp]
    Машина 10.10.8.20 находится не в моей сети.
    Код:
    Трассировка маршрута к 10.10.8.20 с максимальным числом прыжков 30
      1    <1 мс    <1 мс    <1 мс  backup [192.168.1.2]
      2    <1 мс    <1 мс    <1 мс  192.168.3.1
      3    40 ms    39 ms    39 ms  10.36.32.1
      4    39 ms    39 ms    40 ms  195.131.253.65
      5    35 ms    34 ms    35 ms  195.131.253.52
      6    42 ms    44 ms    44 ms  192.168.151.10
      7    50 ms    52 ms    52 ms  10.10.8.20
    Обмен пакетами происходит с четкой периодичностью - 4 минуты.
    Последний раз редактировалось andygreen; 01.10.2008 в 11:46. Причина: Добавлено

  7. #6
    VIP Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    07.07.2005
    Адрес
    Moscow region
    Сообщений
    30,462
    Вес репутации
    2499
    В 1-ом карантине было вот это:
    WinCtrl32.dll - Trojan-Downloader.Win32.Mutant.bnw - уже удалено.
    Павел
    AVZ HijackThis помощь с 10-00 до 18-00МСК

    Windows7, SEP(work)
    WindowsXP KIS(home)

    На up не реагирую

  8. #7
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,317
    Вес репутации
    954

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 2
    • В ходе лечения обнаружены вредоносные программы:
      1. c:\\windows\\system32\\winctrl32.dll - Trojan-Downloader.Win32.Mutant.bnw (DrWEB: BackDoor.Bulknet.225)


  • Уважаемый(ая) andygreen, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 3
      Последнее сообщение: 15.03.2010, 18:27
    2. Компьютер самопроизвольно перезагружается
      От Renaissance в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 25.05.2009, 17:10
    3. Компьютер самопроизвольно перезагружается
      От Олег533 в разделе Помогите!
      Ответов: 16
      Последнее сообщение: 22.02.2009, 07:16
    4. Ответов: 4
      Последнее сообщение: 22.02.2009, 07:01
    5. Ответов: 1
      Последнее сообщение: 23.01.2009, 09:10

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01213 seconds with 17 queries