Показано с 1 по 15 из 15.

Комп тормозил, вирусы, лечение, теперь доступ к вебстраницам пропадает через пару секунд (заявка № 78357)

  1. #1
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51

    Question Комп тормозил, вирусы, лечение, теперь доступ к вебстраницам пропадает через пару секунд

    Здравствуйте!
    Ноут начал сильно тормозить, работать не стабильно (IE8 не загружался вообще на нем в нормальном режиме, в сейфмоде загрузился), потом вообще загнулся. Стоял Макаффи на нем, снесли. Зашли в сейфмоде и пролечили с помощью CureIt, который нашел 7-8 файлов, инфецированных Trojan.PWS.Ibank.28. Но пропал доступ к сайтам, рдп, ресурсам локальной сети. Заново ввели настройки tcp/ip, появился доступ к сайтам, но длилось это недолго, меньше минуты. В дальнейшем доступ к компьютерам локальной сети работал большую часть времени, только иногда пропадал. Доступ к интернет-сайтам работал полминуты после команды route -f. Потом страницы становятся недоступными (google.com, drweb.ru, ya.ru и др.)(успеваю зайти на один сайт либо запустить одно рдп соединение). Файл hosts был стандартным для Win XP.
    Был исправлен ключ в реестре [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "Userinit"="C:\Windows\system32\userinit.exe," после запятой было дописано еще куча путей, они были удалены.

    Помогите, пожалуйста, разобраться с этим вопросом.
    Последний раз редактировалось Александра_С; 15.05.2010 в 02:28. Причина: Дополнение

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Не видно ничего подозрительного.
    Обновите базы AVZ. Выполните процедуру, описанную в первом сообщении: http://virusinfo.info/showthread.php?t=3519

  4. #3
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51
    Сегодня удалили драйвер сетевой карты. Винда сама ее нашла и определила, ввели настройки TCP/IP, интернет заработал, смотрели в Chrome разные сайты, в т.ч. антивирусные, потом в IE8 загрузили google.com, он открылся, но выдало сообщение об ошибке (по такому-то адресу memory can not be written) и еще одна про LSA Shell (Export version) (что-то вроде Выполнила недопустимую операцию и будет закрыта). Перезагрузили комп. Сайты продолжали открываться, я обновила файлы AVZ, открыла хром и ие8, выполнила 4й скрипт (топик #6999 в соотв. теме). После перезагрузки минут 10 все было нормально, потом опять пропал доступ к сайтам, а вот открытое рдп соединение продолжало работать.
    На десктопе и в папке, где лежит AVZ, появляется файлик tmp.tmp, это ваш?

  5. #4
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Результаты обработки
    Цитата Сообщение от CyberHelper Посмотреть сообщение
    Архив 100517_132908_virusinfo_files_PAVLISHIN_4bf10c64f1 91f.zip, загружен 17.05.2010 13:50:46, размер 18326108 байт
    Всего файлов: 33 (исполняемых 30), из них:
    зловреды или опасные объекты: 0
    подозрительные: 0
    Цитата Сообщение от Александра_С Посмотреть сообщение
    На десктопе и в папке, где лежит AVZ, появляется файлик tmp.tmp, это ваш?
    Нет.

    Выполните в AVZ скрипт ScanVuln.txt и приложите сюда файл avz_log.txt из под-папки log.
    Пройдитесь по ссылкам из файла avz_log.txt и установите обновления (для Windows вам нужны английские версии патчей).
    Перезагрузите компьютер.
    Снова выполните этот скрипт и убедитесь, что уязвимости устранены.

  6. #5
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51
    Сделала. Доступа к сайтам так и нету. Бывает один раз сайт загрузится, например сайт ya.ru пингуется, а все равно на него не зайти ни по имени, ни по айпишнику. Я делала сброс настроек и воспользовалась программкой winsockxpfix.exe.

    Посмотрите, пожалуйста, список портов.

    Проверила lsass.exe на вирустотал
    Результат: 1/40 (2.50%)
    eSafe 7.0.17.0 2010.05.13 Win32.Banker
    http://www.virustotal.com/ru/analisi...501-1273996391
    Вложения Вложения

  7. #6
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Сделайте новый лог по пункту 2 Диагностики (virusinfo_syscheck.zip) и приложите к этой теме.

  8. #7
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51
    Вот.
    Вложения Вложения

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Деинсталлируйте Internet Information Services - http://support.microsoft.com/kb/325889
    Открытых портов стало меньше?

  10. #9
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51
    По-моему нет, не стало. Вообще, если смотреть в AVZ порты после перезагрузки ноута, то сначала их мало (около 17 подозрительных, ведущих на 443 порт), а после загрузки и захода на любой сайт их становится все больше и больше, пока все не будут в этом списке, AVZ при этом жутко тормозит и подвисает.
    Интернет пропадает через несколько секунд после загрузки компа, доступ к сайтам появляется после любого изменения сетевых настроек либо временного отключения соединения и снова пропадает, можно успеть зайти на 1 любой сайт либо 1 рдп соединение запустить
    другие компы доступны по локалке
    при этом после загрузки винды (ХР) он сразу же шлет кучу пакетов, например, за первую минуту отослано 40 000 пакетов, за 12 минут ушло 97 000, пришло 8 000 пакетов, если проверить открытые порты, то картина вот такая (и так на все 4000 портов):

    Port Status Remote Host Remote Port Application Notes
    TCP ports
    135 LISTENING 0.0.0.0 38974 [892] c:\windows\system32\svchost.exe Microsoft NET
    139 LISTENING 0.0.0.0 24777 [4] System Microsoft NET
    445 LISTENING 0.0.0.0 2160 [4] System Microsoft NET
    1026 LISTENING 0.0.0.0 36979 [1932] c:\windows\system32\alg.exe
    1028 SYN_SENT 80.246.240.93 443 [632] c:\windows\system32\lsass.exe
    1029 SYN_SENT 82.140.110.2 443 [376] c:\windows\explorer.exe
    1030 SYN_SENT 82.140.110.2 443 [376] c:\windows\explorer.exe
    1031 SYN_SENT 82.140.110.2 443 [632] c:\windows\system32\lsass.exe
    1032 SYN_SENT 82.140.110.2 443 [632] c:\windows\system32\lsass.exe
    1033 SYN_SENT 80.246.240.93 443 [632] c:\windows\system32\lsass.exe
    1034 SYN_SENT 80.246.240.93 443 [376] c:\windows\explorer.exe
    1035 SYN_SENT 80.246.240.93 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1036 SYN_SENT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1037 SYN_SENT 212.6.7.58 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1038 SYN_SENT 82.140.110.2 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1039 SYN_SENT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1040 SYN_SENT 82.140.110.2 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1041 SYN_SENT 212.6.7.58 443 [632] c:\windows\system32\lsass.exe
    1042 SYN_SENT 212.6.7.58 443 [632] c:\windows\system32\lsass.exe
    1043 SYN_SENT 82.140.110.2 443 [632] c:\windows\system32\lsass.exe
    1044 SYN_SENT 80.246.240.93 443 [632] c:\windows\system32\lsass.exe
    1045 SYN_SENT 212.6.7.58 443 [632] c:\windows\system32\lsass.exe
    1046 SYN_SENT 82.140.110.2 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1047 SYN_SENT 80.246.240.93 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1048 SYN_SENT 212.6.7.58 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1049 SYN_SENT 212.6.7.58 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1050 SYN_SENT 80.246.240.93 443 [2164] c:\program files\citrix\gotomeeting\452\g2mcomm.exe
    1051 SYN_SENT 80.246.240.93 443 [376] c:\windows\explorer.exe
    1052 SYN_SENT 80.246.240.93 443 [376] c:\windows\explorer.exe
    1053 SYN_SENT 82.140.110.2 443 [376] c:\windows\explorer.exe
    1054 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1055 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1056 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1057 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1058 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1059 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1060 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1061 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    1062 FIN_WAIT 212.6.7.58 443 [376] c:\windows\explorer.exe
    ...

    Запустила CureIt на полную проверку в безопасном режиме с отключенным сетевым проводом, пока что нашел 1 файлик с PWS.Ibank.39.
    Последний раз редактировалось Александра_С; 18.05.2010 в 19:13.

  11. #10
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51

    tmp_tmp, lsass.exe на всех портах, исходящий трафик, вебстраницы не доступны

    У меня по описанию такая же проблема, как и в теме http://virusinfo.info/showthread.php?t=78945

    - нулевой файлик tmp.tmp в директории, где запускается исполняемый файл.
    - было такое, что появляется системное окно lsass.exe (я после этого проверила файл lsass.exe на вирустотал Результат: 1/40 (2.50%)
    eSafe 7.0.17.0 2010.05.13 Win32.Banker).
    Ошибка приложения. Инструкция по адресу "0x7ffa19d6" обратилась к памяти по адресу "0x3cffa763". Память не может быть "written". При ответе как OK так и Cancel начинается отсчет времени 55сек autority system и компьютер отключается.
    - lsass, explorer (и др.) ломятся со всех портов на порт 443 IP 80.246.240.93, 212.6.7.58 и 82.140.110.2. Причем после загрузки ОС в норм. режиме они висят где-то на 15 портах, а как только я запускаю любой браузер и захожу на любой сайт, эти процессы начинают висеть на всех портах, и на сайты после этого больше не зайти.
    Ну и постоянный исходящий трафик.

    Уже два дня (45 часов) идет проверка CureIt'ом в безопасном режиме без подключения сетевых драйверов. Очень сильно тормозит на проверке директории drivers, скорость сканирования упала до 1 КБ/с. Пока что нашел два инфицированных Trojan.DownLoader.origin и Exploit.PDF.2, два подозрительных (возможно, BATCH.Virus) и три с сообщением Контейнер/Архив содержит инфицированные объекты.

    Если есть решение в том случае, то и мне тоже подскажите,пожалуйста, как эту беду можно победить.

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Запустите AVZ. Выполните скрипт через меню Файл:
    Код:
    begin
    ExecuteWizard('TSW', 2, 2, true);
     QuarantineFile('c:\documents and settings\vitaliy\local settings\application data\google\chrome\application\*.dll','');
     QuarantineFile('C:\Program Files\Internet Explorer\*.dll','');
    end.
    Пришлите карантин через ссылку Прислать запрошенный карантин вверху темы, как написано в приложении 3 Правил.

  13. #12
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51
    А в каком режиме это надо сделать? При этом ноут должен быть в сети или нет?
    Последний раз редактировалось Александра_С; 21.05.2010 в 19:03.

  14. #13
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для AndreyKa
    Регистрация
    08.01.2005
    Адрес
    Россия
    Сообщений
    13,632
    Вес репутации
    1315
    Без разницы.

  15. #14
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51
    Попробовала выполнить в безопасном и потом в нормальном режиме без подключенного сетевого провода. Результат один и тот же. В логе выполнения
    Quarantine file: failed (error), attemting of direct disk reading (путь)
    потом небольшой списочек длл из папки C:\Program Files\Internet Explorer

    Папка карантина пустая.

    Что делать?

  16. #15
    Junior Member Репутация
    Регистрация
    14.05.2010
    Сообщений
    10
    Вес репутации
    51

    Порты перестали открываться, интернет заработал.

    Скопировала папку system32 с зараженного компа на здоровый по сети, при копировании Аваст нашел вирусы, файлы были удалены. Потом по этой папке прошлась CureIt'ом, он нашел дллку с вирусом. Параллельно эти файлы были удалены и на ноуте.

    Порты перестали открываться, интернет заработал!

    system32
    1
    File name: 6t1eovo.exe
    Malware name: Win32:Rootkit-gen [Rtk]
    Malware type: Rootkit
    2
    File name: djb5R5i.exe
    Malware name: Win32:Rootkit-gen [Rtk]
    Malware type: Rootkit
    3
    File name: iRqhf7z.exe
    Malware name: Win32:Malware-gen
    Malware type: Virus/Worm
    4
    File name: rGfj5Qx.exe
    Malware name: Win32:Malware-gen
    Malware type: Virus/Worm
    5
    File name: sFG0kjU.exe
    Malware name: Win32:Malware-gen
    Malware type: Virus/Worm
    6
    File name: tzcgQwz.exe
    Malware name: Win32:Malware-gen
    Malware type: Virus/Worm
    7
    masekyvk.dll - вот эта дллка была связана (смотрела по программе Process Monitor) с файликом tmp.tmp
    Trojan.Siggen1.30070

  • Уважаемый(ая) Александра_С, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Ответов: 2
      Последнее сообщение: 02.03.2011, 11:39
    2. Периодически комп зависает на пару секунд
      От MATHERIA в разделе Помогите!
      Ответов: 1
      Последнее сообщение: 05.09.2010, 01:07
    3. Ответов: 1
      Последнее сообщение: 01.07.2010, 18:00
    4. Ответов: 5
      Последнее сообщение: 20.01.2010, 17:15
    5. Комп жутко тормозил
      От GRomaN в разделе Помогите!
      Ответов: 9
      Последнее сообщение: 22.10.2009, 18:16

    Метки для этой темы

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.01421 seconds with 20 queries