Показано с 1 по 19 из 19.

Какой-то вирус обрывает инет >.< (заявка № 8339)

  1. #1
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40

    Exclamation Какой-то вирус обрывает инет >.<

    Интернет у меня стрим, вот 3 дня уже как началась проблема - появляется процесс drf"набор цифр"[1].htm и инет падает >.<
    Прогонял через несколько антивиров, и вот сейчас сделал как у вас расписано - файлы вложил, надеюсь на вашу помощ
    Вложения Вложения

  2. Будь в курсе!
    Реклама на VirusInfo

    Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:

    Anti-Malware Telegram
     

  3. #2
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     QuarantineFile('D:\PROGRA~1\DOWNLO~1\MDPPH.DLL','');
     QuarantineFile('d:\program files\conexant\accessrunner adsl\cnxdsltb.exe','');
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, пришлите карантин AVZ, как написано в прил.3 правил

  4. #3
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    В добавок к предыдущему совету :
    1. Пофиксить в HijackThis (http://virusinfo.info/showthread.php?t=4491 )
    Код:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/V4Q6eNRdqiTRYJY0iTUCd4dMZncjABJBuBLF_QBda_GnnbeiTyFBLQ$$/http://bonanzaclub.ru/
    O2 - BHO: (no name) - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - (no file)
    O20 - AppInit_DLLs:
    2.
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173432132[1].htm.exe','');
    QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf??????????[1].htm.exe','');
    end.
    3. Почистите временные файлы ( вот один из возможных вариантов : http://support.microsoft.com/kb/260897
    4. Перегрузиться , скачать последнею версию AVZ 4.24 !!! и обновить её базы , затем сделать все новые логи при помощи уже новой версии 4.24 и прикрепить к данной теме
    5.Пришлите
    те файлы ( из пункта 3 ) которые попадут в карантин AVZ по правилам. Oдинаковые не надо присылать .
    Последний раз редактировалось drongo; 11.03.2007 в 19:11.

  5. #4
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    Огромное списибо что проявили интерес к моей проблеме ребят, вот сделал все выше написанное -> файл прикрепил
    Файлы по скрипту
    begin
    QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173432132[1].htm.exe','');
    QuarantineFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf??????????[1].htm.exe','');
    end.
    в карантин не попали - выдавал ошибку какуюто
    Вложения Вложения

  6. #5
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для drongo
    Регистрация
    17.09.2004
    Адрес
    Israel
    Сообщений
    7,165
    Вес репутации
    971
    А какую ошибку выдавал ? аваст работал при выполнении скрипта ?
    Почище стало, только вот ключ болтается от файла appmgmts.dll
    Нужно попытаться сам файл найти, если нет,надо удалить ключик.
    Фикс вы делали ? Изменения в логе нет, может когда прикрепляли, перепутали ? Если не перепутали повторить фикс и перегрузиться :
    Код:
    R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ar.atwola.com/redir/B0/V4Q6eNRdqiTRYJY0iTUCd4dMZncjABJBuBLF_QBda_GnnbeiTyFBLQ$$/http://bonanzaclub.ru/
    O2 - BHO: (no name) - {AE1AA4FA-C3A2-4c33-90CD-69DD021A35C8} - (no file)
    O20 - AppInit_DLLs:

    где файлы, которые Numb просил прислать ?

  7. #6
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    Ошибку выдавал что-то типо : попытка прямого чтения - ошибка
    Фикс я делал щас выложу ещё раз его, и карантин
    Вложения Вложения
    Последний раз редактировалось anton_dr; 12.03.2007 в 14:26.

  8. #7
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Уберите, пожалуйста, virus.zip из вложений в теме и загрузите по ссылке "прислать запрошенные файлы" - она расположена в верхней части страницы.

  9. #8
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    21.04.2005
    Адрес
    Perm, Russia
    Сообщений
    5,794
    Вес репутации
    2269
    Карантин слать сюда!!!
    http://virusinfo.info/upload_virus.php?tid=8339

  10. #9
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    d:\program files\conexant\accessrunner adsl\cnxdsltb.exe - Trojan-Downloader.Win32.Agent.awf (по Касперскому)
    Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
     DeleteFile('D:\Program Files\Conexant\AccessRunner ADSL\CnxDslTb.exe');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, сделайте, пожалуйста, новые логи.
    И еще: похоже, что данный троян подменил вполне легитимный файл - монитор состояния ADSL-модема. Скорее всего, корректно работать модем будет и при его отсутствии, но, на всякий случай, хорошо бы иметь под рукой драйвера к вашему ADSL-модему.

  11. #10
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    Все выше сказаное сделал
    Вложения Вложения

  12. #11
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    1. Скачайте утилиту cureit!. Даже если закачивали ее раньше - закачайте еще раз. Перезагрузите машину в безопасном режиме (F8 в начале загрузки системы) и выполните проверку утилитой CureIt! в безопасном режиме.
    2. Загрузитесь в обычном режиме. Программа AVZ - файл - выполнить скрипт - выполните следующий скрипт:
    Код:
    begin
    ClearQuarantine;
    SearchRootkit(true, true);
    SetAVZGuardStatus(True);
    QuarantineFile('d:\windows\system32\spool\drivers\w32x86\3\e_fatiaep.exe','');
    DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf1173694981[1].htm.exe');
    DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\EXR04AMD\drf1173694981[1].htm');
    DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173679935[1].htm.exe');
    DeleteFile('D:\Documents and Settings\-Main-\Local Settings\Temporary Internet Files\Content.IE5\N5ORO09Q\drf1173679935[1].htm');
    ExecuteSysClean;
    RebootWindows(true);
    end.
    Система будет перезагружена. После перезагрузки, загрузите содержимое карантина AVZ, если туда что-нибудь попадет, как написано в прил.3 правил
    3. Выполните новый лог исследования системы (п. 10 правил)

  13. #12
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    Программа cureit! скачалась, но при распаковке пишет что архив поврежден.
    проверки и скрипт сделал (drf файлы появляются и появляются)
    обновил карантин
    Вложения Вложения

  14. #13
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    cureit с 3 раза нормально скачалась )
    проверку сделал, только вот логи ег никак не найду куда сохраняет он

  15. #14
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для Numb
    Регистрация
    04.10.2005
    Сообщений
    2,118
    Вес репутации
    847
    Лог Cureit! по умолчанию располагается по этому пути:
    Код:
    %USERPROFILE%\DoctorWeb\CureIt.log
    Если возможно, поясните: вы лечение выполняли? Если да, после проверки и лечения CureIt!, остались ли признаки заражения?

  16. #15
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    Всю ноч и день небыло обрывов, но вот только что опять был обрыв >.<
    Сейчас ещё раз сделаю cureit и выложу логи AVZ

  17. #16
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    Всё время находит какието 7 KiST
    каждый рас вроде лечит их но всеравно потом их находит
    Вложения Вложения

  18. #17
    Senior Member Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Аватар для pig
    Регистрация
    17.09.2004
    Адрес
    Апатиты, Мурманская область, Россия
    Сообщений
    10,629
    Вес репутации
    1292
    Это Алкоголь семь функций перехватывает. AVZ их восстанавливает временно, до перезагрузки. То есть, тут ситуация нормальная, так и должно быть.

    Ничего явно вредоносного не вижу.

  19. #18
    Junior Member Репутация
    Регистрация
    11.03.2007
    Сообщений
    19
    Вес репутации
    40
    однако инет всеравно рвется...
    Правда процессов drf****** уже нету но появляется ещё какойто другой - его название выложу как появится ещё раз

  20. #19
    Cybernetic Helper Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация Репутация
    Регистрация
    29.12.2008
    Сообщений
    48,318
    Вес репутации
    953

    Итог лечения

    Статистика проведенного лечения:
    • Получено карантинов: 2
    • Обработано файлов: 9
    • В ходе лечения обнаружены вредоносные программы:
      1. d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\exr04amd\\drf1173694981[1].htm - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      2. d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\exr04amd\\drf1173694981[1].htm.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      3. d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173679935[1].htm - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      4. d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173679935[1].htm.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      5. d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173717773[1].htm - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      6. d:\\documents and settings\\-main-\\local settings\\temporary internet files\\content.ie5\\n5oro09q\\drf1173717773[1].htm.exe - Trojan.Win32.Dialer.ri (DrWEB: Dialer.Tiny)
      7. d:\\program files\\conexant\\accessrunner adsl\\cnxdsltb.exe - Trojan-Clicker.Win32.Agent.jh (DrWEB: Trojan.DownLoader.18943)
      8. d:\\windows\\system32\\spool\\drivers\\w32x86\\3\\ e_fatiaep.exe - Trojan-Clicker.Win32.Agent.jh (DrWEB: Trojan.DownLoader.18943)


  • Уважаемый(ая) Main, наши специалисты оказали Вам всю возможную помощь по вашему обращению.

    В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:

     

     

    Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:

     

     

    Anti-Malware VK

     

    Anti-Malware Telegram

     

     

    Надеемся больше никогда не увидеть ваш компьютер зараженным!

     

    Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.

  • Похожие темы

    1. Руткит(?) обрывает Интернет
      От Stringman в разделе Помогите!
      Ответов: 2
      Последнее сообщение: 02.03.2011, 00:11
    2. ВИрус обрывает интернет соединение
      От irjee в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 11.02.2010, 16:13
    3. Вирус периодически обрывает интернет
      От Zimfi в разделе Помогите!
      Ответов: 6
      Последнее сообщение: 15.08.2009, 17:50
    4. Поймал какой-то вирус, не знаю какой
      От Armyun в разделе Помогите!
      Ответов: 11
      Последнее сообщение: 04.05.2009, 22:44
    5. Запуск WC3 обрывает связь с интернетом
      От alisher в разделе Помогите!
      Ответов: 22
      Последнее сообщение: 22.02.2009, 08:32

    Свернуть/Развернуть Ваши права в разделе

    • Вы не можете создавать новые темы
    • Вы не можете отвечать в темах
    • Вы не можете прикреплять вложения
    • Вы не можете редактировать свои сообщения
    •  
    Page generated in 0.00538 seconds with 17 queries