Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   Соединение с интернетом (http://forum.oszone.net/showthread.php?t=211117)

komcomojika 13-07-2011 20:21 1712685

Соединение с интернетом
 
Пропадает периодически.У вас на форуме была такая же тема,но к сожалению решения этой проблемы не нашел http://forum.oszone.net/post-1348831.html
Симптомы те же.
Спасает только перезагрузка.но надоело уже.

komcomojika 13-07-2011 20:41 1712695

вот еще

Katharsis 13-07-2011 22:30 1712760

1.Ваша система не обновляется, т к обновления для Windows SP2 больше не выпускаются! Вам необходимо установить Service Pack 3 (может потребоваться активация) Почему важно обновлять Windows и установленные в ней программы

2.Проверьте на virustotal.com:
Цитата:

c:\windows\Installer\126e84.msi
ссылки на результат запостите здесь

3.Вы используете прокси для подключения к интернету? Если нет, в логе сканирования Hijackthis отметьте:
Цитата:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 91.210.104.104:80
нажмите "Fix checked"

4.Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код:

begin
ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 QuarantineFile('c:\documents and settings\komcomojika\$$$.tmp','');
 QuarantineFile('c:\windows\Installer\126e84.msi','');
 QuarantineFile('C:\WINDOWS\system32\naumdf.dll','');
 QuarantineFile('C:\Program Files\Internet Explorer\naumdf.dll','');
 QuarantineFile('c:\documents and settings\komcomojika\Главное меню\Программы\Автозагрузка\igfxtray.exe','');
 QuarantineFile('c:\windows\pss\igfxtray.exe','');
 DeleteFile('c:\documents and settings\komcomojika\Главное меню\Программы\Автозагрузка\igfxtray.exe');
 DeleteFile('c:\windows\pss\igfxtray.exe');
 DeleteFile('c:\documents and settings\komcomojika\$$$.tmp');
 DeleteFile('C:\Program Files\Internet Explorer\naumdf.dll');
 DeleteFile('C:\WINDOWS\system32\naumdf.dll');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\chgtcngp');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\htmcolsm');
 RegKeyDel('HKEY_LOCAL_MACHINE','SYSTEM\CurrentControlSet\Services\qtqolic');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код:

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

5. Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

Driver::
chgtcngp
fgvfziy
htmcolsm
qtqolic
vrlyf
NetSvc::
vrlyf
chgtcngpqtqolic
htmcolsm
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3578:TCP"=-
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. Компьютер перезагрузится.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

6.повторите логи avz и rsit

7. обновите:
adobe reader , Sun Java
а так же: Adobe Flash Player, QuickTime, надстройки браузеров

у вас drweb и макафи используются одновременно?

komcomojika 14-07-2011 01:45 1712884

1. планирую скоро купить новый HDD,на него уж и поставлю новую ОС лицензионную наверное =) а с этой жалко расставаться-столько лет верой и правдой служит...привык уже
2.указанный файл не найден
3.выполнено
4.выполнено.файл отправлен.
5,6.7-макафи вроде как удален был давно.во всяком случае я его нигде не нашел.

SolarSpark 14-07-2011 11:30 1713059

Вложений: 1
Цитата:

Цитата komcomojika
а с этой жалко расставаться-столько лет верой и правдой служит...привык уже »

обновите сервиспак..ось не изменится

1.ставим эти заплатки в обязательном порядке
MS08-067
MS08-068
MS09-001

2.Установите пароль на учетную запись администратора, если пароль установлен, то убедитесь в его сложности (qwert или 1234 не есть сложный пароль)

3.В окно командной строки скопируйте и вставьте команду:
Код:

REG ADD HKLM\Software\Microsoft\Windows\CurrentVersion\policies\Explorer /v NoDriveTypeAutoRun /t REG_DWORD /d 221
Нажмите enter. Для подтверждения перезаписи нажмите Y.

4.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::
c:\documents and settings\komcomojika\Главное меню\Программы\Автозагрузка\igfxtray.exe
c:\windows\pss\igfxtray.exe
c:\windows\system32\naumdf.dll
Driver::
vrlyf
chgtcngpqtqolic
htmcolsm
nsbvxl
fgvfziy
NetSvc::
vrlyf
chgtcngpqtqolic
htmcolsm
nsbvxl
fgvfziy
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^komcomojika^Главное меню^Программы^Автозагрузка^igfxtray.exe]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3724:TCP"=-
"3578:TCP"=-
FileLook::

DirLook::
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

5. Если вы точно не используете прокси для соединения с интернетом, зайдите в папку
c:\documents and settings\komcomojika\Application Data\Mozilla\Firefox\Profiles\tlwekjpx.default

найдите файл prefs.js, откройте его блокнотом найдите в нем эти строки и удалите:
FF - prefs.js: network.proxy.ftp - localhost
FF - prefs.js: network.proxy.ftp_port - 3128
FF - prefs.js: network.proxy.gopher - localhost
FF - prefs.js: network.proxy.gopher_port - 3128
FF - prefs.js: network.proxy.http - localhost
FF - prefs.js: network.proxy.http_port - 3128
FF - prefs.js: network.proxy.socks - localhost
FF - prefs.js: network.proxy.socks_port - 3128
FF - prefs.js: network.proxy.ssl - localhost
FF - prefs.js: network.proxy.ssl_port - 3128
FF - prefs.js: network.proxy.type - 4
В опциях браузера (настройки - дополнительно - сеть - "настроить") окно "параметры соединения" отметьте "без прокси".

6.Пофиксить в HijackThis следующие строчки:
Код:

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 91.210.104.104:80
7. Для зачистки некорректно удаленного антивируса воспользуйтесь утилитой из моего вложения

komcomojika 14-07-2011 20:11 1713506

Спасибо большое за помощь! проблема устранена.

Katharsis 14-07-2011 20:23 1713521

Цитата:

Цитата komcomojika
проблема устранена. »

Никаких гарантий. Если не убедиться в чистоте, этот вирь ещё долго будет вас доставать.

Цитата:

Цитата SolarSpark
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. »

+

Скачайте GMER по одной из указанных ссылок:
Gmer со случайным именем , Gmer в zip архиве. (перед применением распаковать в отдельную папку)
- Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
Sections
IAT/EAT
Show all
Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
- Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

komcomojika 14-07-2011 20:30 1713529

лог комбо

komcomojika 14-07-2011 20:45 1713539

log gmer

SolarSpark 14-07-2011 20:53 1713543

komcomojika, Сохраните приведённый ниже текст в файл cleanup.bat в ту же папку, где находится 4gxkf6dz.exe случайное имя утилиты (gmer)
Код:

4gxkf6dz.exe -del service nsbvxl
4gxkf6dz.exe -del file "C:\WINDOWS\system32\naumdf.dll"
4gxkf6dz.exe -del reg "HKLM\SYSTEM\CurrentControlSet\Services\nsbvxl"
4gxkf6dz.exe -del reg "HKLM\SYSTEM\ControlSet002\Services\nsbvxl"
4gxkf6dz.exe -reboot

И запустите сохранённый пакетный файл cleanup.bat.
Внимание: Компьютер перезагрузится!
Сделайте новый лог gmer.

Katharsis 14-07-2011 21:15 1713554

и снова Windows 5.1.2600Service Pack 2 NTFS

Цитата:

Цитата Katharsis
1.Ваша система не обновляется, т к обновления для Windows SP2 больше не выпускаются! Вам необходимо установить Service Pack 3 (может потребоваться активация) Почему важно обновлять Windows и установленные в ней программы »

komcomojika, вам видимо понравилось держать зоопарк у себя на компе? Почему не выполнено?
Цитата:

Цитата SolarSpark
1.ставим эти заплатки в обязательном порядке
MS08-067
MS08-068
MS09-001 »

так же где?

komcomojika 14-07-2011 21:54 1713577

новый лог

SolarSpark 14-07-2011 22:08 1713588

komcomojika, ничего плохого не вижу....
как с заплатками-поставили? а то червячок протоптал уже дорожку к вам))

komcomojika 14-07-2011 22:10 1713589

Цитата:

Цитата Katharsis
Профиль | Отправить PM | Цитировать
и снова Windows 5.1.2600Service Pack 2 NTFS
Цитата Katharsis:
1.Ваша система не обновляется, т к обновления для Windows SP2 больше не выпускаются! Вам необходимо установить Service Pack 3 (может потребоваться активация) Почему важно обновлять Windows и установленные в ней программы »
komcomojika, вам видимо понравилось держать зоопарк у себя на компе? Почему не выполнено? »

Потому что не уверен что смогу активировать новый SP.Все три заплатки скачал и установил по второму разу.

может я конечно как-то не так их устанавливаю...

SolarSpark 14-07-2011 22:24 1713597

.Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.
Код:

KillAll::

File::
c:\documents and settings\komcomojika\Главное меню\Программы\Автозагрузка\igfxtray.exe
c:\windows\pss\igfxtray.exe
c:\windows\system32\naumdf.dll
Driver::
vrlyf
chgtcngpqtqolic
htmcolsm
nsbvxl
fgvfziy
NetSvc::
vrlyf
chgtcngpqtqolic
htmcolsm
nsbvxl
fgvfziy
Registry::
[-HKLM\~\startupfolder\C:^Documents and Settings^komcomojika^Главное меню^Программы^Автозагрузка^igfxtray.exe]
[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\nsbvxl]
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"3578:TCP"=-
Rootkit::
c:\windows\system32\naumdf.dll

Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.


Время: 05:26.

Время: 05:26.
© OSzone.net 2001-