Пропадает соединение с интернетом

**vlad_1976** · 27.05.2010, 17:16

Здравствуйте, уважаемые! с утра пришел на работу и увидел такую картину на своем компе. Ни одна ссылка не открывалась, опера писала "невозможно соединиться с удаленным сервером", мозила ничего не писала просто была пустая страница. все ссылки, которые я запускал в браузерах, все пинговались без потерь. После танцев с бубном, чисткой ccleaner-ом и AVZ, и парой перезагрузок все заработало. Я подумал что с машиной глюк и забил на все. Во второй половине дня началось тоже самое, после тех же операций вроде опять заработало. Проверьте пожалуйста логи, может че-то и правда засело там.
З.Ы.: заметил одну вещь, после каждой перезагрузки в папке C:\WINDOWS\Temp появляются следующие папки и файлы History, Cookies, Temporary Internet Files, CT2.tmp, CT1.tmp, hlktmp - последний файл всегда занят процессом System, т.е. файл не удаляется, а unlocker пишет Обработка - System, заблокированный путь - C:\WINDOWS\Temp\hlktmp, PID - 4, Дескриптор - 1500, Путь процесса - System

Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

**thyrex** · 27.05.2010, 20:35

Лог gmer сделайте

**vlad_1976** · 28.05.2010, 11:59

сделал лог gmer... с третьего раза. Сегодня еще хуже ведет себя комп. Постоянно виснет...

**polword** · 28.05.2010, 12:23

- Сохраните текст ниже как 1.bat в ту же папку, где находится 4xtn0r2i.exe (GMER) и запустите этот батник(1.bat):

Код:

4xtn0r2i.exe -del service TDSSserv.sys
4xtn0r2i.exe -del file "\systemroot\system32\drivers\TDSSfdmd.sys"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSevhl.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSksgx.dat"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSirhi.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSbwip.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSfpou.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSinxt.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSnmxh.log"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSlthc.dll"
4xtn0r2i.exe -del file "\systemroot\system32\TDSShhmo.log"
4xtn0r2i.exe -del file "\systemroot\system32\TDSSagbv.log"
4xtn0r2i.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\TDSSserv"
4xtn0r2i.exe -del reg "HKLM\SYSTEM\ControlSet003\Services\TDSSserv"
4xtn0r2i.exe -reboot

Компьютер перезагрузится.

После перезагрузки:
- Сделайте повторный лог virusinfo_syscheck.zip
- Сделайте новый лог Gmer

**vlad_1976** · 28.05.2010, 14:54

лог gmer делал почти 2 часа, попытался сохранить и комп завис на этом процессе.
лог virusinfo_syscheck.zip отправляю. посмотрите пока этот лог.
попробую gmer еще раз поставить.
и еще... в процессах появляется файл wuauclt.exe хотя автоматическое обновление у меня вроде отключено. может тоже какой-нить зловред маскирующий себя под обновление...

**V_Bond** · 28.05.2010, 15:03

если это не сами делали

>> Ограничение отображения дисков в проводнике

то устраните через Мастер поиска и устранения проблем

**vlad_1976** · 28.05.2010, 15:05

Исправил.
в смысле устранил

**V_Bond** · 28.05.2010, 15:07

новый лог Gmer где ?

**vlad_1976** · 28.05.2010, 15:08

Сообщение от V_Bond

новый лог Gmer где ?

я ж написал выше что с ним. надо заново делать, а это еще 2 часа.
делаю...

**vlad_1976** · 28.05.2010, 16:30

новый лог Gmer.

**V_Bond** · 28.05.2010, 17:05

ничего плохого ...

**vlad_1976** · 28.05.2010, 17:57

щас попытался обновить эту тему, чтобы посмотреть следующие указания и вижу, что сообщения датированные сегодняшним числом пропали))) сейчас зашел с другого компа.

Добавлено через 35 секунд

Сообщение от V_Bond

ничего плохого ...

а что насчет файлов, про которые я писал в первом своем сообщении?

еще раз обновил страницу и все появилось. какие-то глюки непонятные.

Добавлено через 4 минуты

и почему периодически зависают приложения. qip завис седня, потом Gmer, и система зависала, когда стандартный хранитель экрана включался. непонятно.

и еще забыл сказать, захожу в диспетчер задач, в процессы и там периодически какой-то один из процессов жрет 50%, то lsass.exe, то нод32, а сейчас infium.exe хотя в qip я не вошел просто горит значок. Такие дела....

Добавлено через 33 минуты

можно выложить лог mbam?

**polword** · 29.05.2010, 10:22

- Проведите процедуру, которая описана в первом сообщении тут.
результат загрузки прикрепите к сообщению

**vlad_1976** · 31.05.2010, 09:11

скрипт номер 4 выполнил.
Файл сохранён как 100531_091128_virusinfo_files_ADMIN_4c0345002cdc0. zip
Размер файла 663997
MD5 e54d792ff7bea9450cb1ad943838243b

перед тем как уйти на выходные я все таки запустил mbam и вот что он мне выдал
Объекты реестра заражены:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> No action taken.

Зараженные папки:
(Вредоносных программ не обнаружено)

Зараженные файлы:
C:\WINDOWS\system32\TDSSagbv.log (Rootkit.TDSS) -> No action taken.
C:\WINDOWS\system32\TDSSinxt.dll (Rootkit.TDSS) -> No action taken.
я удалил только 2 последних файла, в реестре ничего не удалял.

**polword** · 31.05.2010, 09:46

Архив 100531_091128_virusinfo_files_ADMIN_4c0345002cdc0. zip, загружен 31.05.2010 9:30:24, размер 663997 байт
Всего файлов: 4 (исполняемых 4), из них:
зловреды или опасные объекты: 0
подозрительные: 0
занесены в базу безопасных AVZ: 1
В очереди на добавление в базу безопасных:
высокий приоритет: 3
обычный приоритет: 0

подозрительного нет

**vlad_1976** · 31.05.2010, 10:21

И все таки я хочу вернуться к первому посту, после каждой перезагрузки в папке C:\WINDOWS\Temp появляются следующие папки и файлы History, Cookies, Temporary Internet Files, CT2.tmp, CT1.tmp, hlktmp? как посмотреть, что их образовывает?

**thyrex** · 31.05.2010, 10:37

Сообщение от vlad_1976

History, Cookies, Temporary Internet Files

Появляются после посещения Internet

Сообщение от vlad_1976

hlktmp

Скорее всего от HardLock (HASP)

**vlad_1976** · 31.05.2010, 11:09

появляются сразу же после загрузки системы

**pig** · 31.05.2010, 16:44

Я бы в журнал событий посмотрел, в раздел Приложения. Что-то мне не нравится это самозарождение временного профиля. В журнале должно быть сообщено, чьё это и почему там.

**vlad_1976** · 01.06.2010, 11:35

вот сообщения которые записываются в журнал событий
Тип события: Уведомление
Источник события: bgsvcgen
Категория события: Отсутствует
Код события: 0
Дата: 01.06.2010
Время: 11:26:03
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Service started

Тип события: Уведомление
Источник события: Nexus Server
Категория события: Отсутствует
Код события: 4096
Дата: 01.06.2010
Время: 11:26:05
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Nexus Engine Status: Nexus Server is running....

Тип события: Уведомление
Источник события: SecurityCenter
Категория события: Отсутствует
Код события: 1800
Дата: 01.06.2010
Время: 11:26:06
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Служба центра обеспечения безопасности Windows запущена.

Тип события: Уведомление
Источник события: Nexus Server
Категория события: Отсутствует
Код события: 4096
Дата: 01.06.2010
Время: 11:26:15
Пользователь: Н/Д
Компьютер: ADMIN
Описание:
Nexus Engine Status: Nexus Engine Initialized. Rhozet Carbon Coder - Version: 3.14.0.17760.

И еще, после установки Rhozet Carbon Coder в автозагрузке появились 2 процесса PNXKERNL.exe и PNXSERVR.exe. Как их отключить из автозагрузки?
Скорее всего это из-за них появляются файлы в windows\temp