По-видимому, было заражение системы. Долгая загрузка системы, сразу после загрузки пропадает доступ к локальной сети. Лечение не дало никаких результатов. Ни CurIt, ни AVP Tools не нашли ничего. Вот логи. Спасибо.
Сразу после загрузки пропадает доступ к локальной сети
По-видимому, было заражение системы. Долгая загрузка системы, сразу после загрузки пропадает доступ к локальной сети. Лечение не дало никаких результатов. Ни CurIt, ни AVP Tools не нашли ничего. Вот логи. Спасибо.
Последний раз редактировалось StepIn; 24.01.2011 в 16:18.
Надоело быть жертвой? Стань профи по информационной безопасности, получай самую свежую информацию об угрозах и средствах защиты от ведущего российского аналитического центра Anti-Malware.ru:
Закройте все программы
Отключите
- ПК от интернета/локалки.
- Антивирус и Файрвол
- Системное восстановление
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\RECYCLER\S-1-5-21-8996779609-2559983509-132499227-1200\nissan.exe',''); DeleteFile('C:\RECYCLER\S-1-5-21-8996779609-2559983509-132499227-1200\nissan.exe'); RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,2,true); BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
- Прокси Ваши? -Код:R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = ftp=192.168.10.1:3128;http=192.168.10.1:3128;https=192.168.10.1:3128
Скрипт выполнил. Карантин выслал.
Файл сохранён как 101229_161513_quarantine_4d1b3461b1c8f.zip
Размер файла 654
MD5 56692f12f4282272b95933907fbc20ce
Прокси мой, используется. Буду сейчас тестировать систему. Логи надо новые делать?
Да, сделайте новые логи?
Сеть пропадает и дальше. Заметил такую вещь: в начале загрузки системы, сразу после регистрации, появляется процесс osa.exe, а затем пропадает. Так вот, если сразу снять этот процесс, то сеть работает хорошо. Не уверен пока, что это работает всегда, но пару раз уже мог наблюдать эту ситуацию.
Вот новые логи.
Последний раз редактировалось StepIn; 24.01.2011 в 16:19.
Выполните скрипт в АВЗ -
После выполнения скрипта компьютер перезагрузится.Код:begin SearchRootkit(true, true); SetAVZGuardStatus(true); DeleteFileMask(GetAVZDirectory + 'Quarantine', '*.*', true); QuarantineFile('C:\WINDOWS\system32\ckldrv.sys',''); BC_ImportAll; BC_Activate; RebootWindows(true); end.
После перезагрузки:
- выполните такой скрипт
Пришлите файл quarantine.zip из папки AVZ по ссылке Прислать запрошенный карантин над первым сообщением этой темы.Код:begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end.
Попробуйте поискать его в автозагрузке(можно использовать утилиту Autoruns) и убрать его оттуда и понаблюдайте.Сообщение от StepIn
Скрипт выполнил. Карантин выслал.
Файл сохранён как 101229_202648_quarantine_4d1b6f5854871.zip
Размер файла 34833
MD5 9eb77405fca2e6e24e34a5e3a8e3304b
Сделал отключение автозапуска для osa.exe, сеть пропадает дальше. Буду искать что-то еще. Вчера удалил вместе с osa.exe еще какой-то процесс, и сеть работала. Сегодня этот процесс не вижу. А название вчерашнего удаленного процесса не помню. Возможно это важно: доступа к локальной сети нет, а интернет есть постоянно.
Ещё давайте проверим настройки DNS, есть среди них незнакомые Вам? -
Код:O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = multimed.svitonline.com O17 - HKLM\Software\..\Telephony: DomainName = multimed.svitonline.com O17 - HKLM\System\CCS\Services\Tcpip\..\{1221D907-6E5D-4236-A33B-FDF3A968003D}: NameServer = 192.168.10.1 O17 - HKLM\System\CCS\Services\Tcpip\..\{2E09CAD0-CCD7-454B-BC00-130C76068C38}: NameServer = 192.168.10.1 O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = multimed.svitonline.com O17 - HKLM\System\CS1\Services\Tcpip\..\{1221D907-6E5D-4236-A33B-FDF3A968003D}: NameServer = 192.168.10.1 O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = multimed.svitonline.com O17 - HKLM\System\CS2\Services\Tcpip\..\{1221D907-6E5D-4236-A33B-FDF3A968003D}: NameServer = 192.168.10.1
Да, DNS мои и правильные. Уточняю проблему с сетью. Сеть номинально есть. Пингуется как по IP адресу, так и по имени компьютера. А вот зайти на какой-то компьютер в локальной сети невозможно. Вернее сразу после регистрации сеть доступна (можно зайти на какой-то компьютер в локальной сети) только в течении 2 -3 минут. А затем нельзя.
Добавлено через 1 час 14 минут
Вот что удалось сделать. После того, как я удалил процесс alg.exe, сеть перестала пропадать и даже после последующей перезагрузки. Есть ли этому какое-то объяснение? Возможно файл alg.exe был чем-то модифицирован? Размер этого файла – 45 056 байт. Надо ли его выслать вам для изучения?
Последний раз редактировалось StepIn; 29.12.2010 в 22:21. Причина: Добавлено
Модифицирован - вряд ли, может с кем-то конфликтовал. Но конечно проверить не мешало бы. Запакуйте пожалуйста в zip-архив с паролем virus и пришлите по ссылке Прислать запрошенный карантин над первым сообщением этой темы.
Файл alg_files.zip выслал:
Файл сохранён как 101229_225644_alg_files_4d1b927c388d9.zip
Размер файла 19621
MD5 5cb7782ce3402064ce74f5ec83615a36
Olejah, большое спасибо за помощь!
Файл чист. Сейчас всё в порядке?
Спасибо! Пока сеть есть. Завтра буду тестировать.
Всех с Новым Годом!
С сетью проблемы продолжаются. Заметил следующее. Загружается система. Все в порядке, сеть работает. Запускаю Интернет Эксплорер – сеть падает: не могу доступиться ни к одному компьютеру в сети. При этом пинг проходит как по IP адресу, так и по имени компьютера. После перегрузки сеть опять в норме. Кажется, после запуска Chrome сеть не падает, но точно не уверен, так как пробовал пару раз всего. И еще, если после падения сети не перегружать компьютер, то через некоторое время система начинает сбоить – некоторые программы не стартуют, возникают ошибки.
Подскажите, куда двигаться дальше?
Вот новые логи, которые сделаны во время неработающей локальной сети.
Последний раз редактировалось StepIn; 24.01.2011 в 16:19.
Обновите систему
- Установите Internet-Explorer 8.(даже если Вы его не используете)
- Поставте все последние обновления системы Windows - тут
- Обновите Java .
- поставте Adobe Reader 9.4 или удалите старый.
После обновления:
- Откройте файл ScanVuln.txt. Выполните из этого файла скрипт в AVZ. В результате работы скрипта будет создан файл - avz_log.txt.
Пройдитесь по ссылкам из файла avz_log.txt и установите все рекомендуемые обновления(если таковые будут).
Перезагрузите компьютер.
Снова выполните этот скрипт и убедитесь, что уязвимости устранены.
понаблюдайте за проблемой и отпишитесь
Систему и Интернет-Эксплорер обновил. Система работает, сеть есть! Буду тестировать дальше.
Всем хелперам - большое спасибо!
Статистика проведенного лечения:
- Получено карантинов: 3
- Обработано файлов: 6
- В ходе лечения вредоносные программы в карантинах не обнаружены
Уважаемый(ая) StepIn, наши специалисты оказали Вам всю возможную помощь по вашему обращению.
В целях поддержания безопасности вашего компьютера настоятельно рекомендуем:
Чтобы всегда быть в курсе актуальных угроз в области информационной безопасности и сохранять свой компьютер защищенным, рекомендуем следить за последними новостями ИТ-сферы портала Anti-Malware.ru:
Надеемся больше никогда не увидеть ваш компьютер зараженным!
Если Вас не затруднит, пополните пожалуйста нашу базу безопасных файлов.
Ваши права в разделе
