-
Junior Member
- Вес репутации
- 50
Помогите разобраться.
Здравствуйте! Тут такое дело. Подключил комп под управлением Windows XP SP3, к сети (выделенка до 100Мб). В системе был только IE8 Проверил, что всё работает, странички открываются (показалось, что немного тормозит, но списал это на обычную медлительность IE). Только ушёл, как перестали открываться странички в браузере (Вы попытались получить доступ к странице, которая в данный момент недоступна...). Проверил подключение, всё работает...Со стороны провайдера порт рабочий, ошибок нет... Пинги на первый попавшийся сайт (mail.ru) проходят, страницы не открываются... В опере тоже... Скинул с флешки портабельную версию Оперы АС. Открылась пара страниц, и тут же всё попрежнему стало "недоступно"... Глянул hosts, -изменений нет. Попробовал пинги на 80й порт,- аха не проходят... то есть tcp в ауте.
На компе стоял KIS-9,- для украшения т.к. сто лет не обновлялся и ключ давно просрочен... Поставил ключ, но не обновляется (инета то нет). Снёс KIS наффик (может он блокирует?). Нет, всё без изменений... CureIt, блин тоже активации СМС просит, послал его в сердцах... Скинул AVZшку с флеша,- О, чудо обновилась! Просканил, вот лог.
В журналах tcpip событие 4226(Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.);Browser событие 8021(Обозреватель сети не смог загрузить список серверов с основного обозревателя \\NEWONE сети \Device\NetBT_Tcpip); Windows Update Agent событие 16(Ошибка подключения: не удается подключиться к службе автоматического обновления, загрузка и установка обновлений по заданному расписанию невозможна. Попытки установить подключение будут продолжены); Службы IPSEC ошибка 615(Службам IPSEC не удалось получить полный список интерфейсов сети для данного компьютера. Это может послужить потенциальной угрозой безопасности данных на компьютере, в то время как некоторые интерфейсы сети могут не получить желаемой защиты данных, используя фильтры IPSEC). В конце, вообще доступ к некоторым файлам и папкам стал как-то сам закрываться...
Ясно, что без зловреда тут не обошлось...Решил поискать ответы в инете... У вас, тут мнения спросить, с другого, конечно компьютера...
В, другом, защищённый DrWebом и USB disc security, эту флешку, что вставлял в заражённый компьютер, просканил. Нашёл вот что
Прошу прощения, что нет логов HiJackThis (не было под рукой) и куда-то исчез с флешки avz_log2.txt, что был сделан в безопасном режиме.
Прошу, подскажите, что это за зараза, и как с ней бороться... Не хотелось бы сносить систему, не разобравшись...
Заранее спасибо!
Melius non incipient,quam desinent.
-
Будь в курсе!
Будь в курсе!
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
-
Отключите восстановление системы и сделайте логи в соответствии с правилами.
I am not young enough to know everything...
-
-
Junior Member
- Вес репутации
- 50
Спасибо, за отклик.
Хорошо, я смогу выложить логи, но не ранее, как завтра... Всё же довольно необычное поведение для Trojan.Oficla. Не находите? (Если дело в нём). Он, конечно всего донлаудер, но тем не менее... Ясно, что реестр править
[HKCR\idid]- нах
[HKCU\Software\Microsoft\Office\11.0\Word\Security] "Level" "AccessVBOM"
[HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon] "Shell" = "Explorer.exe"
Удалить %System%\nynw.wmo и %Temp%\<rnd>.tmp
А также почистить кэш... Вот только изначальный файл как отыскать?
Может снести офис к рогатому, на время?
Или тут ещё где собака порылась?... Ладно, завтра видно будет...Утро вечера, как говорится...
Последний раз редактировалось spider73; 02.11.2010 в 05:00.
Melius non incipient,quam desinent.
-
Junior Member
- Вес репутации
- 50
Вот необходимые логи:это и это от AVZшки в безопасном режиме. Это Hijackthis, и вот это всё, что нашёл Virus Removal Tool. Он конечно неказист, и требует установки,- зато очень умел, и не требует никаких СМСок... IMHO, никогда не был сторонником Касперского, но, видимо пора пересмотреть свои взгляды...
PS. Всё в безопасном режиме... с отключенным восстановлением...
Последний раз редактировалось Bratez; 03.11.2010 в 14:08.
Причина: убрал лишние вложения
Melius non incipient,quam desinent.
-
Выполните скрипт в AVZ в безопасном режиме:
Код:
begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
QuarantineFile('C:\WINDOWS\system32\msvmiode.exe','');
QuarantineFile('C:\WINDOWS\cfdrive32.exe','');
QuarantineFile('C:\WINDOWS\system32\DRIVERS\litdpl.sys','');
QuarantineFile('C:\SYSPREP\SAN\data.sys','');
DeleteFile('C:\WINDOWS\cfdrive32.exe');
DeleteFile('C:\WINDOWS\system32\msvmiode.exe');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.
Компьютер перезагрузится.
Пришлите карантин согласно приложению 3 правил
(загружать тут: http://virusinfo.info/upload_virus.php?tid=90937).
Прочтите внимательно раздел Диагностика правил и сделайте 3 лога в точности так, как там описано, в нормальном режиме. Ничего другого делать и прикреплять не нужно, пока Вас об этом не попросят.
I am not young enough to know everything...
-