Пропал инет: "Заданный узел недоступен"
Продолжение темы: http://virusinfo.info/showthread.php...d=1#post414806
Основная ОС заражена непонятно чем, и это нечто вырубило мне инет. При пинге провайдера выдаёт "Заданный узел недоступен". Хотя на второй ОС провайдер пингуется и есть выход в инет. Возможно вредителем является недобитый вирус конфикер - я долго и упорно пытался его убить с помощью миниутилит от каспера, видимо он выжил. Логи прилагаю. Надеюсь на вашу помощь.
Последний раз редактировалось Sality; 13.06.2010 в 11:45.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Для начала такой вопрос: в системе два диска "C" и "D"?
Фаервалл корректно настроен?
Восстановление системы: включено --- отключить.
Выполнить:
Сделать новые логи.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system\270305.chm',''); QuarantineFile('I:\autorun.inf',''); QuarantineFile('C:\WINDOWS\system32\drivers\eslggn.sys',''); DeleteService('abp470n5'); DeleteService('DDJCVT'); QuarantineFile('C:\WINDOWS\system32\drivers\DDJCVT.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\DDJCVT.sys'); DeleteFile('C:\WINDOWS\system32\drivers\eslggn.sys'); DeleteFile('C:\WINDOWS\system\270305.chm'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
Прислать карантин по красной ссылке.
Последний раз редактировалось PavelA; 11.06.2009 в 09:28.
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
В системе диски: C,D,E,F(1жёсткий) и O,W,X,Y,Z(2жёсткий). На С: - основная винда с проблемным инетом, на О: - временная винда с рабочим инетом.
Фаерволл и антивир на основной системе - Каспер 2009, тольк вот базы там 11.11.2008. Обновлять базы по моей выделенке дороговато выходит, пытался понять как там спецпрогой можно скопировать базы с другого компа или скачать через инет другого компа (например в инеткафе), но увы.
Карантин пришлю.
Последний раз редактировалось Sality; 13.06.2010 в 11:45.
Проверьте настройки DNS-сервера.Основная ОС заражена непонятно чем, и это нечто вырубило мне инет. При пинге провайдера выдаёт "Заданный узел недоступен".
Знать бы как это делать )Сообщение от AndreyKa
Полазил по инету, понял, что такое DNS, но вот как его в винде настраивать - неа )
В Windows есть встроенная справка.
Достаточно забить в поиск: настройка DNS
Судя по всему, повторное заражение (Возвращение Sality). Логи прилагаю.
AndreyKa, я проверил настройки - в обоих ОС идентичные (автоопределение DNS и IP), за исключением маски подсети. Я вписал настройки из временной ОС (с работающим инетом) вручную в основную, исправил маску подсети с 255.255.0.0 на 255.255.240.0. Иконка желтого восклицательного знака пропала из трея, но инет не заработал. Нажимаю "исправить" - выдаёт "Невозможно завершить исправление ошибки, так как не удается выполнить следующие действия: Выполняется очистка DNS-кэша"
Последний раз редактировалось Sality; 13.06.2010 в 11:45.
выполните скрипт
пришлите карантин согласно приложения 3 правил ...Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('abp470n5'); DeleteService('DDJCVT'); QuarantineFile('DDJCVT.sys',''); QuarantineFile('C:\WINDOWS\system32\drivers\jqvln.sys',''); DeleteFile('C:\WINDOWS\system32\drivers\jqvln.sys'); DeleteFile('DDJCVT.sys'); ExecuteRepair(11); ExecuteRepair(17); AutoFixSPI; BC_ImportDeletedList; ExecuteSysClean; BC_Activate; RebootWindows(true); end.
проверка cureit
и новые логи ...
Вот это Ваше:
Код:O17 - HKLM\System\CCS\Services\Tcpip\..\{E1ED6D6B-621E-4455-B016-9ABF01F7EA17}: NameServer = 217.106.208.2,195.161.106.2
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Да, это я вручную прописал DNS-сервера (по образцу ОС с работающим инетом).Вот это Ваше:
Всё сделал, логи прилагаю, карантин вышлю. Можно ли выслать файлы из папки: O:\Documents and Settings\Administrator - мне кажется заражение идёт оттуда, куча странных файлов с иконкой "Надпись AIR на чёрном фоне" ? Также меня не пускает (выдает ошибку: Отказано в доступе, даж Тотал коммандер не может) в папку C:\Documents and Settings\Administrator
CureIt сделал полную проверку - я так понял этот вирус каждый экзешник заразил. После перезагрузки всё по новой. Диспетчер задач постоянно отключается (восстановливаю авз - хватает минут на 5). Теперь у меня обе ОС заражены этим вирусом, не знаю, что и делать, с какой ОС начать.
Ребят, где можн почитать (на будущее) про:
1) правильную настройку прав администрирования, чтобы самому как пользователь сидеть, а админом ток когда доверенные проги ставлю
2) то как поставить виртуальную оболочку ОС (что эт не знаю, но вроде вы так вирусы тестите)
3) правильную настройку SP-монитора - он явно не рассчитан на 2 ОС, постоянно спрашивает менять ли значение реестра для прог, которые работают в обоих ОС
4) обновление каспера через другой комп(инет) специальными прогами - прост у меня домашний инет дорогой 1мб-2р., а в интернет-кафе в разы дешевле выходит
5) то как видеть невидимые папки (скрытые папки у меня включены, но всё равно не вижу) - несколько раз прога Зоркий глаз ловила вирей на флешке в таких невидимых компу папках. Они видны через тотал коммандер, но можно ли сделать их видимыми всегда (как при включении скрытых папок), чтобы не проверять каждый раз флешку Тотал коммандером.
Прочитал в инете, что нужно восстановить безопасный режим, резко! перезагрузить комп, пока вирус вновь не замочил его в реестре и просканировать комп CureIt'ом. Это поможет?
Таблетка №10 в "Восст. системы" в AVZ для восст. безопасного режима.
Добавлено через 5 минут
NEXT\FILES\NEXT.exe - с диска 'I' пришли
Выполнить скрипт:
Сделать заново логи после перезагрузки.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(True); BC_QrFile('C:\WINDOWS\system32\drivers\jqvln.sys'); BC_DeleteFile('C:\WINDOWS\system32\drivers\jqvln.sys'); BC_Activate; RebootWindows(true); end.
Загрузить карантин по Правилам через http://virusinfo.info/upload_virus.php?tid=47651
Последний раз редактировалось PavelA; 18.06.2009 в 11:23. Причина: Добавлено
Павел
AVZ HijackThis помощь с 10-00 до 18-00МСК
Windows7, SEP(work)
WindowsXP KIS(home)
На up не реагирую
Файла Next.exe на флешке найти не могу (даже Тотал коммандером), видимо его убила прога Зоркий глаз, либо какой-нить другой антивир. Пришлю карантин, собранный АВЗ. Логи прилагаю.
Меня смущает алгоритм действий: После прочтения сообщений в этой теме, я копирую скрипты и перезагружаюсь, чтобы выполнить их в основной ОС. Затем делаю логи, перезагружаюсь и через эту ОС с инетом посылаю их Вам. Но, за это время мне много раз приходится запускать ехе-файлы, которые заражены Win.Sector.17 - не усугбляю ли я этим положение компа?
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 4
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) Sality, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
