Компьютерный форум OSzone.net  

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)
-   Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)
-   -   [решено] Ожибка в журнале Достигнут предел безопасности для TCP/IP (http://forum.oszone.net/showthread.php?t=259213)

grеatеst 23-04-2013 08:13 2138043
Ожибка в журнале Достигнут предел безопасности для TCP/IP
 
Появилось примерно неделю тому назад
Код:
Тип события:    Предупреждение
Источник события:    Tcpip
Категория события:    Отсутствует
Код события:    4226
Дата:        23.04.2013
Время:        10:18:59
Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.
Данные:
0000: 00 00 00 00 01 00 54 00 ......T.
0008: 00 00 00 00 82 10 00 80 ....‚..€
0010: 01 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........
В поисковиках в день несколько раз банят приходится перезапускать интернет
Цитата:
Google We're sorry...
... but your computer or network may be sending automated queries. To protect our users, we can't process your request right now.
Яндекс Нам очень жаль, но запросы, поступившие с вашего IP-адреса, похожи на автоматические. По этой причине мы вынуждены временно заблокировать доступ к поиску.
Проверял Malwarebytes Anti-Malware, Нод 32 и Trend_Micro ничего не находят.
Пробовал утилиту - Complete Internet Repair тоже не помогло.

Sandor 23-04-2013 09:18 2138070
Здравствуйте!

Цитата:
JSC Kazakhtelecom
Ваш провайдер?

Сделайте логи полностью по правилам. Не хватает virusinfo_syscure.zip, log.txt и info.txt

Также приложите лог сканирования Malwarebytes Anti-Malware.

Сделайте дополнительно еще один лог:
  1. Скачайте Universal Virus Sniffer (uVS)
  2. Извлеките uVS из архива или из zip-папки. Откройте папку с UVS и запустите файл start.exe. В открывшимся окне выберите пункт "Запустить под текущим пользователем".
  3. Выберите меню "Файл" => "Сохранить полный образ автозапуска". Программа предложит вам указать место сохранения лога в формате "имя_компьютера_дата_сканирования". Лог необходимо сохранить на рабочем столе.
    !!!Внимание. Если у вас установлены архиваторы WinRAR или 7-Zip, то uVS в автоматическом режиме упакует лог в архив иначе это будет необходимо сделать вам вручную.
  4. Дождитесь окончания работы программы и прикрепите лог к посту в теме.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  5. Подробнее читайте в руководстве Как подготовить лог UVS

grеatеst 23-04-2013 10:36 2138108
Цитата Sandor:
Ваш провайдер? »
Да, все верно.

Логи сделал. Ещё забыл добавить, что некоторые программы теперь требуют права Администратора на запуск, хотя раньше этого не делали. Может все проблемы из-за последних обновлений windows?

Sandor 23-04-2013 10:56 2138115
Как подключаетесь к интернету - напрямую или через модем/роутер?

Файл hosts сами правили?
Цитата:
======Файл Hosts======

127.0.0.1 topdownloads.ru
127.0.0.1 counter.yadro.ru
127.0.0.1 static.yandex.net
127.0.0.1 c.youtube.com

grеatеst 23-04-2013 11:01 2138119
Цитата:
Цитата Sandor:
Как подключаетесь к интернету - напрямую или через модем/роутер?
Через usb модем
Цитата:
Цитата Sandor:
Файл hosts сами правили?
Сами :)

regist 23-04-2013 12:03 2138166
  1. Скачайте архив TDSSKiller.zip и распакуйте его в отдельную папку;
  2. Скопируйте следующий текст в Блокнот и сохраните в папку с распакованным TDSSKiller.exe, как fix.bat:
    Код:
    tdsskiller.exe -qmbr -qboot
  3. Запустите файл fix.bat;
  4. Найдите в корне системного диска (обычно это диск C:) папку TDSSkiller_Quarantine;
  5. Заархивруйте эту папку с паролем virus. И отправьте полученный архив на адрес quarantine<at>safezone.cc (at=@), в заголовке (теме) письма укажите ссылку на тему, где Вам оказывается помощь.
  6. Запустите файл TDSSKiller.exe;
  7. Нажмите кнопку "Начать проверку";
  8. В процессе проверки могут быть обнаружены объекты двух типов:
    • вредоносные (точно было установлено, какой вредоносной программой поражен объект);
    • подозрительные (тип вредоносного воздействия точно установить невозможно).
  9. По окончании проверки утилита выводит список обнаруженных объектов с их подробным описанием.
  10. Для вредоносных объектов утилита автоматически определяет действие: Лечить или Удалить.
  11. Для подозрительных объектов утилита предоставляет выбор действия пользователю (по умолчанию Пропустить).
  12. После нажатия кнопки Продолжить утилита выполняет выбранные действия и выводит результат.
  13. Прикрепите лог утилиты к своему следующему сообщению
По умолчанию утилита выводит отчет работы в корень системного диска (диска, на котором установлена операционная система, как правило, это диск С:\).
Имя отчета имеет следующий вид: ИмяУтилиты.Версия_Дата_Время_log.txt
Например, C:\TDSSKiller.2.4.7_23.07.2010_15.31.43_log.txt

grеatеst 23-04-2013 12:17 2138179
Вот ещё обнаружились Ошибки всякие

grеatеst 23-04-2013 12:37 2138191
TDSSKiller_Quarantine.zip успешно отправлен.

regist 23-04-2013 13:40 2138232
вот такой лог сделайте, пожалуйста, http://safezone.cc/forum/showpost.ph...43&postcount=2

grеatеst 23-04-2013 14:56 2138273
Цитата:
Цитата regist
вот такой лог сделайте, пожалуйста, http://safezone.cc/forum/showpost.ph...43&postcount=2 »
Пожалуйста

grеatеst 24-04-2013 05:47 2138669
Можно узнать диагностика закончена?

regist 24-04-2013 13:08 2138849
Скачайте ComboFix здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, скопируйте текст из C:\ComboFix.txt и вставьте в следующее сообщение или запакуйте файл C:\ComboFix.txt и прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe. Например: temp.exe

Подробнее в "ComboFix. Руководство по применению."

grеatеst 24-04-2013 21:37 2139074
На диске С/ появились ещё папки VritualRoot и Qoobox их нужно прикреплять к сообщению?

regist 24-04-2013 23:44 2139125
grеatеst, малварь наконец проявилась в логе, но давайте пока ещё один лог сделаем
  1. Загрузите GMER по одной из указанных ссылок:
    Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
  2. Временно отключите драйверы эмуляторов дисков.
  3. Запустите программу (пользователям Vista/Seven запускать от имени Администратора по правой кнопке мыши).
  4. Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
  5. После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:
    • Sections
    • IAT/EAT
    • Show all
  6. Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
  7. Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
  8. После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.
    !!! Обратите внимание, что утилиты необходимо запускать от имени Администратора. По умолчанию в Windows XP так и есть. В Windows Vista и Windows 7 администратор понижен в правах по умолчанию, поэтому, не забудьте нажать правой кнопкой на программу, выбрать Запуск от имени Администратора, при необходимости укажите пароль администратора и нажмите "Да".
  9. Подробную инструкцию читайте в руководстве


+ проверьте
Код:
c:\windows\System32\ctfmon.exe
такой файл у вас есть ? А также виндоус как понимаю у вас сборка ?

grеatеst 25-04-2013 01:50 2139164
Цитата:
Цитата regist
+ проверьте
c:\windows\System32\ctfmon.exe
такой файл у вас есть ?»
Такого файла не нашёл. Так-так использую punto switcher за ненадобностью давно удалил чем-то ctfmon.exe, windows года полтора не переустанавливал, не вспомню сейчас, когда я удалял ctfmon.exe, но делал это точно я. На всякий случай прикрепил имена всех файлов из \System32\
Цитата:
А также виндоус как понимаю у вас сборка ?
Вроде нет... вот хеш суммы установочного диска
CRC32: FFFFFFFF
MD5: 02B46B7F74308D7D31E608DB8DDDDFFD
SHA-1: B7E0DD8B8832E4966E61A9EC3CCD9E7EF3EAD1B3

grеatеst 25-04-2013 09:14 2139219
Сегодня заметил, что при вчерашнем сканировании, ComboFix , удалил без запросов программу xp-AntiSpy. Но ошибка так и продолжает появляться

regist 25-04-2013 11:32 2139290
Скопируйте текст ниже в Блокнот и сохраните как файл с названием CFScript.txt на диск С.
Код:
KillAll::

File::


Driver::

Folder::


RegLock::
[HKEY_USERS\S-1-5-21-1177238915-117609710-2146801373-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C824FAE3-F065-E702-9B81-BDFC4F03184A}*]

RegLockDel::
[HKEY_USERS\S-1-5-21-1177238915-117609710-2146801373-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C824FAE3-F065-E702-9B81-BDFC4F03184A}*]

RegNull::
[HKEY_USERS\S-1-5-21-1177238915-117609710-2146801373-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{C824FAE3-F065-E702-9B81-BDFC4F03184A}*]

FileLook::

DirLook::
Reboot::
После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению.

iskander-k 25-04-2013 12:50 2139313
grеatеst,
Где брали ОС которая установлена ?

Читаем : http://forum.oszone.net/thread-104108.html

попробуйте отмените все обновления , для системы!,(для офиса можете не трогать ) после которых появилась проблема. Отменяйте по очереди установки начиная от последнего.

grеatеst 25-04-2013 13:32 2139340
Цитата:
Цитата regist
Когда сохранится новый отчет ComboFix.txt, прикрепите его к сообщению. »
Готово

grеatеst 25-04-2013 13:36 2139344
Цитата:
Цитата iskander-k
Где брали ОС которая установлена ? »
Не помню кажется в интернете скачал или у знакомых А что?
Цитата:
Цитата iskander-k
Прочитал.
Цитата:
Цитата iskander-k
попробуйте отмените все обновления , для системы!, после которых появилась проблема. Отменяйте по очереди установки начиная от последнего. »
Как это лучше сделать с загрузочного диска ERD Commander или через Установка удаление программ ?

regist 25-04-2013 13:57 2139358
Для начала
  1. Вставьте диск, с которого устанавливали Windows (либо другой но с той же локализацией и тем же сервис паком (SP) что установлен у вас.
    • Если у вас windows Vista или windows 7 откройте меню "Пуск" ("Start") и в строке поиска введите "cmd". На результатах поиска нажмите правой клавишей мыши и выберите пункт "Запуск от имени администратора".
    • Если у вас windows XP откройте меню Пуск (Start) -> Выполнить (Run)
  3. Введите sfc /scannow и нажмите Энтер.
  4. Система восстановит недостающие или изменённые системные файлы, для этого может потребоваться перезагрузка.

после этого проверьте проблему с поисковиками.

grеatеst 25-04-2013 14:32 2139374
sfc /scannow выполнил, никаких перезагрузок система не просила, в журнале куча уведомлений о том, что какие то файлы восстановлены какие то нет! Обновления, которые есть в журнале на сайте Микрософта от 16 Апреля в системе из них нашёл только одно КВ2687493 при его удалении ошибка.
Остальных вообще нет. Как удалить эти обновления теперь?

iskander-k 25-04-2013 14:50 2139382
Цитата:
Цитата grеatеst
Как удалить эти обновления теперь? »
Если отменить установку обновления через удаление программ невозможно? Попробуйте откатить систему через Восстановление системы. Практически все обновления создают системную отметку для возможности отката в случае возникших проблем после обновления.


меню Пуск-> Все программы -> Стандартные -> Служебные-> Восстановление системы по дате и номеру обновления выберите нужные точки отката


Цитата:
Цитата grеatеst
Не помню кажется в интернете скачал или у знакомых А что? »
распространяемые таким образом дистрибутивы(не лицензионные -> пиратки ) как раз и имеют проблемы после обновлений

regist 25-04-2013 14:51 2139383
Цитата:
после этого проверьте проблему с поисковиками.
ответа не вижу.

Если проблемы с поисковиками больше, нет то дальнейшее разборки к вирусам отношения не имеют и стоит разбираться в другом разделе.

grеatеst 25-04-2013 14:55 2139386
Цитата:
iskander-k:
меню Пуск-> Все программы -> Стандартные -> Служебные-> Восстановление системы по дате и номеру обновления выберите нужные точки отката
Там пусто нет точек
Цитата:
Цитата regist:
ответа не вижу.
Если проблемы с поисковиками больше, нет то дальнейшее разборки к вирусам отношения не имеют и стоит разбираться в другом разделе.
Эта ошибка не сразу воспроизводится. Появляется при активном серфинге в интернете иткрытии ссылок, просмотром видео.

grеatеst 25-04-2013 15:13 2139399
Вылезла Тип события: Предупреждение
Источник события: Tcpip
Категория события: Отсутствует
Код события: 4226
Дата: 25.04.2013
Время: 17:12:23
Пользователь: Н/Д
Описание:
Достигнут предел безопасности для TCP/IP, налагаемый на количество попыток одновременных TCP-подключений.
Данные:
0000: 00 00 00 00 01 00 54 00 ......T.
0008: 00 00 00 00 82 10 00 80 ....‚..€
0010: 01 00 00 00 00 00 00 00 ........
0018: 00 00 00 00 00 00 00 00 ........
0020: 00 00 00 00 00 00 00 00 ........

Цитата:
Цитата iskander-k
распространяемые таким образом дистрибутивы(не лицензионные -> пиратки ) как раз и имеют проблемы после обновлений »
Разве подписчикам приратки дают ?
ссылка на изображение, размер: 96.6 кбайт, 1002 x 692 точек

grеatеst 25-04-2013 15:30 2139415
Забыл совсем может это как то пригодится - сканер HitmanPro после этих обновлений от 16 апреля находит троян в системном файле. Удалить не может.
ссылка на изображение, размер: 65.2 кбайт, 722 x 573 точек

iskander-k 25-04-2013 15:30 2139416
Цитата:
Цитата grеatеst
Разве подписчикам приратки дают ? »
ваши слова
Цитата:
Цитата grеatеst
Где брали ОС которая установлена ? »
Не помню кажется в интернете скачал или у знакомых »
почему бы сразу не сказать , что подписчик ?



Цитата:
Цитата grеatеst
HitmanPro после этих обновлений от 16 апреля находит троян в системном файле »
проверьте этот файл на https://www.virustotal.com/ru/

grеatеst 25-04-2013 15:33 2139418
Если больше вариантов нет и система чистая может Создать параметр DWORD TcpNumConnections, значением скажем, 500, после чего перезагрузите компьютер.(да забить на эту ошибку)?
Цитата:
Цитата iskander-k:
проверьте этот файл на https://www.virustotal.com/ru/
2 https://www.virustotal.com/ru/file/f...412a/analysis/

regist 25-04-2013 15:59 2139442
Цитата:
Цитата grеatеst
Если больше вариантов нет и система чистая может Создать параметр DWORD TcpNumConnections, значением скажем, 500, после чего перезагрузите компьютер.(да забить на эту ошибку)? »
если проблем с поисковиками больше нет, то имхо разумный вариант. Понаблюдайте пока за системой.

grеatеst 25-04-2013 16:47 2139471
Цитата:
Цитата regist
если проблем с поисковиками больше нет, то имхо разумный вариант. Понаблюдайте пока за системой. »
Пока вроде нет... завтра ещё посмотрю. Спасибо большое!!! Удачи

regist 25-04-2013 19:16 2139581
Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"



Скачайте OTCleanIt, запустите, нажмите Clean up


Время: 03:25.

Время: 03:25.
© OSzone.net 2001-