[решено] постоянные разрывы соединения с интернетом

Компьютерный форум OSzone.net (http://forum.oszone.net/index.php)

- Лечение систем от вредоносных программ (http://forum.oszone.net/forumdisplay.php?f=87)

постоянные разрывы соединения с интернетом

Добрый день! У меня возникла следующая проблема: периодически пропадает соединение с интернетом, в этот момент стиль оформления изменяется на классический, возобновить связь и даже просто посмотреть настройки соединения невозможно - окошко сразу закрывается. Так же что- то происходит со звуковыми кодеками, т. е. Winamp отказывается что-либо проигрывать. После перезагрузки всё приходит в норму на какое-то время, затем повторяется снова. Помимо этого я не могу зайти ни на один сайт антивирусов. Пожалуйста помогите, заранее спасибо.

Пофиксите в HiJack

Код:

 F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\3e12587e.exe,\\?\globalroot\systemroot\system32\GUXsuka.exe,

O4 - HKLM\..\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

O4 - HKLM\..\Run: [svvchost.exe] C:\WINDOWS\system32\svvchost.exe

O4 - HKLM\..\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe

O4 - HKLM\..\Run: [MS Virtual CLS] C:\WINDOWS\system32\msvmcls64.exe

O4 - HKCU\..\Run: [12CFG214-K641-12SF-N85P] C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe

O4 - HKLM\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

O4 - HKLM\..\Policies\Explorer\Run: [Microsoft Driver Setup] C:\WINDOWS\cidrive32.exe

O4 - HKCU\..\Policies\Explorer\Run: [userini] C:\WINDOWS\explorer.exe:userini.exe

Выполните скрипт в AVZ

Код:

begin

SearchRootkit(true, true);

SetAVZGuardStatus(True);

QuarantineFile('\\?\globalroot\systemroot\system32\GUXsuka.exe','');

 QuarantineFile('C:\WINDOWS\system32\svvchost.exe','');

 QuarantineFile('C:\WINDOWS\system32\3e12587e.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3138314658-3492141702-376189354-1860\syscr.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe','');

 QuarantineFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe','');

 TerminateProcessByName('c:\windows\system32\msvmcls64.exe');

 QuarantineFile('c:\windows\system32\msvmcls64.exe','');

 TerminateProcessByName('c:\windows\cidrive32.exe');

 QuarantineFile('c:\windows\cidrive32.exe','');

QuarantineFile('C:\WINDOWS\explorer.exe:userini.exe','');

 DeleteFile('C:\WINDOWS\explorer.exe:userini.exe');

 DeleteFile('c:\windows\cidrive32.exe');

 DeleteFile('c:\windows\system32\msvmcls64.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\vsbntlo.exe');

 DeleteFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe');

 RegKeyParamDel('HKEY_CURRENT_USER','Software\Microsoft\Windows\CurrentVersion\Run','12CFG214-K641-12SF-N85P');

 DeleteFile('C:\RECYCLER\S-1-5-21-2905220113-3771559440-814764635-4365\syscr.exe,explorer.exe,C:\RECYCLER\S-1-5-21-3138314658-3492141702-376189354-1860\syscr.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','Microsoft Driver Setup');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run','Microsoft Driver Setup');

 DeleteFile('C:\WINDOWS\system32\3e12587e.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','MS Virtual CLS');

 DeleteFile('C:\WINDOWS\system32\svvchost.exe');

 RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows\CurrentVersion\Run','svvchost.exe');

 DeleteFile('\\?\globalroot\systemroot\system32\GUXsuka.exe');

RegKeyParamDel('HKEY_LOCAL_MACHINE','Software\Microsoft\Windows NT\CurrentVersion\Winlogon','Taskman');

BC_ImportAll;

ExecuteSysClean;

BC_Activate;

ExecuteRepair(20);

RebootWindows(true);

end.

Компьютер перезагрузится.

Выполните скрипт в AVZ

Код:

begin

CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');

end.

quarantine.zip из папки AVZ отправьте через форму http://support.kaspersky.ru/virlab/helpdesk.html. В строке "Подробное описание возникшей ситуации:", напишите пароль на архив "virus"(без кавычек), в строке "Электронный адрес:" укажите свой электронный адрес. Полученный ответ сообщите здесь.

Сделайте новые логи

Выполните дополнительно в обязательном порядке^

Загрузите GMER по одной из указанных ссылок
Gmer со случайным именем (рекомендуется), Gmer в zip-архиве (перед применением распаковать в отдельную папку)
Запустите программу (пользователям Vista запускать от имени Администратора по правой кнопке мыши).
Начнется экспресс-проверка. При появлении окна с сообщением о деятельности руткита, нажмите No.
После завершения экспресс-проверки в правой части окна программы уберите метку со следующих пунктов:

Sections
IAT/EAT
Show all

Из всех дисков оставьте отмеченным только системный диск (обычно C:\)
Нажмите на кнопку Scan и дождитесь окончания проверки. При появлении окна с сообщением о деятельности руткита, нажмите OK.
После окончания проверки сохраните его лог (нажмите на кнопку Save) и вложите в сообщение.

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.
1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, C:\ComboFix.txt прикрепите к сообщению.
Примечание: в случае, если ComboFix не запускается, переименуйте combofix.exe в combo-fix.exe

Не удалось отправить quarantine.zip т.к. его размер больше 1.5 Мб. Как быть? В остальном сделал всё, как Вы сказали, во время работы Gmer компьютер самопроизвольно перезагружался.

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::

c:\windows\system32\AUOXfHo.exe

c:\windows\system32\YP4R4NY.exe

c:\windows\system32\oExFN6N.exe

c:\windows\system32\LCWfFco.exe

c:\windows\system32\eDe7YoF.exe

c:\windows\system32\jEnpBBK.exe

C:\WINDOWS\system32\cdbmq.dll



Driver::

fqevsd

oimev



Folder::



NetSvc::

fqevsd

oimev



Registry::

[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fqevsd]

[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\oimev]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\fqevsd]

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\oimev]

[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\fqevsd]

[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\oimev]



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Новый лог gmer также сделайте

К сожалению не получается воспользоваться Gmer'ом - виснет. На сайты антивирусов заходить теперь можно, обрывы связи продолжаются, но теперь хотя бы получается её восстанавливать. Снова позвонил провайдеру, он утверждает, что с сетью всё OK и никаких обрывов быть не должно.

Цитата:

Цитата pv ibn v

К сожалению не получается воспользоваться Gmer'ом - виснет. »

Защитный софт (антивирус, файрволл из PC Tools) отключали? Если нет, сделайте и попробуйте. Также деинсталлируйте Daemon Tools перед созданием лога gmer.

Сделайте новый лог virusinfo_syscheck.zip

Сделайте дополнительно лог МВАМ

С пятой попытки завершил сканирование Gmer'ом, удалил daemon tools, а файрволл и антивирус я всегда перед сканированием отключал. Выкладываю новые результаты. э-э-э virusinfo-syscheck получается после выполнения второго скрипта, я ничего, надеюсь, не перепутал?

Удалите в МВАМ все найденное

После этого прикрепите новый лог МВАМ

Удалил в MBAM всё найденное, прикрепляю новый лог. Соединение сейчас вроде бы стабильное обрывов связи почти 2 часа не было.

Таак, за это время снова едва не схватили Кидо

Ознакомтесь со статьей http://support.kaspersky.ru/kis2009/error?qid=208636215 и выполните все рекомендованное.
А лучше установить все обновления, вышедшие после SP3.

После проверки КидоКиллером, сообщите результаты проверки

Снова добрый день! Согласно Вашим указаниям установил все обновления для Windows (это было непросто - связь теперь рвётся каждые 5 минут). Установил программу KK.exe, извините но я не понял как в ней сохранить log-файл. Может Вы объясните ламеру что означает "запустить программу с параметром -l" ? Прикладываю новые log'и AVZ и Hijack, не уверен нужны ли они.

Все-таки успел Кидо пролезть :(
Флешки никакие не вставляли? Компьютер в локальной сети? На время лечения его лучше от сети отключать

1. Делайте новый лог ComboFix и лог gmer

2.

Цитата:

Цитата pv ibn v

Может Вы объясните ламеру что означает "запустить программу с параметром -l" ? »

Запускать утилиту KidoKiller так: KK -l log.txt -v
Файл log.txt прикрепите к своему сообщению

Цитата:

Цитата pv ibn v

Может Вы объясните ламеру что означает "запустить программу с параметром -l" »

Воспользуйтесь графической оболочкой для kidokiller - Quick Killer - GUI для консольных утилит Лаборатории Касперского. Скачайте архив. Запустите утилиту QuickKiller.exe

1. Установите переключатель в положение KidoKiller
2. Установите галочку Записать в лог 'report'
3. Нажмите кнопку Выполнить

Дождитесь окончания сканирования и после чего в папке из которой был запущен QuickKiller появится лог report-[Kido].txt прикрепите его к сообщению.

Drongo, спасибо, а то у нас, ламеров, от одного вида командной строки в груди что-то останавливается :lamer: .

Цитата:

thyrex Флешки никакие не вставляли? Компьютер в локальной сети?

Нет не вставлял, локальной сети нет. Хм... наверное мне надо было упомянуть в первом посте, а не сейчас, но я не могу подключится к сети с активным брэндмауэром, приходится его отключать, а затем снова включать. Во время сканирования Combofix ругался на Avira, хотя я его выключал. Мне его нужно удалить? Как-то стрёмно без антивируса. Ещё он (Combofix) говорит, что нужна Windows recover console - что это и где её взять?

Цитата:

Цитата pv ibn v

Ещё он (Combofix) говорит, что нужна Windows recover console - что это и где её взять? »

Можете установить Recovery Console по инструкции - how-to-use-combofix, и http://support.microsoft.com/kb/310994 - скачайте установочный файл для своей ОС и сохраните на рабочий стол (напр. Windows XP с пакетом обновления 2 (SP2) - для Windows XP SP3 использовать также этот файл), закройте все остальные приложения и мышкой перенесите установочный файл на иконку ComboFix, подтвердите лицензионное соглашение и установите Microsoft Recovery Console. Доп. см. Программа для Windows XP Professional с пакетом обновления 2 (SP2): Установочные диски для установки с гибкого диска

Лог comboFix старый выложили.
Странно, что КК ничего не нашел

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::

C:\WINDOWS\system32\cdbmq.dll



Driver::

thhoejcu



Folder::



NetSvc::

thhoejcu



Registry::

[-HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\thhoejcu]

[-HKEY_LOCAL_MACHINE\System\ControlSet002\Services\thhoejcu]



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикре-пите к сообщению.

Новый лог gmer также сделайте

Цитата:

Цитата thyrex

Лог comboFix старый выложили. »

И как же я их перепутал? Сорри.
Выполнил Ваши инструкции. Прикрепляю новые логи. Надеюсь, что в этот раз всё правильно сделал.

Обновления против Kido установить успели?

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.

Код:

KillAll::



File::



Driver::



Folder::



NetSvc::



Registry::

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"7953:TCP"=-



FileLook::



DirLook::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

Цитата:

Цитата thyrex

Обновления против Kido установить успели? »

Обновления чего? Обновления Windows установил те, которые она сама сказала. Combofix сам загрузил какие-то обновления.
Выполнил указанный скрипт.

Что сейчас с проблемой?

Цитата:

Цитата pv ibn v

Хм... наверное мне надо было упомянуть в первом посте, а не сейчас, но я не могу подключится к сети с активным брэндмауэром, приходится его отключать, а затем снова включать. »

Речь идет о файрволле в составе PC Tools? Если да, то настроен ли он корректно?

Со вчерашнего вечера сеть обрывалась каждые 5 минут (примерно). После выполнения последнего скрипта Combofix 20 минут без перебоев.

Цитата:

Цитата thyrex

Речь идет о файрволле в составе PC Tools? Если да, то настроен ли он корректно? »

Если бы я ещё знал как его настраивать корректно... :dont-know Скачал, установил, висит в трее. Только сейчас понял, что эти 20 минут он был выключен. Включил - связь оборвалась... Э-э-э но проблемы у меня начались, когда PC Tools не было.

Цитата:

Цитата pv ibn v

Э-э-э но проблемы у меня начались, когда PC Tools не было. »

Понятное дело. Там Вам мешали жить спокойно вирусы

Обновите JavaRE

Деинсталлируйте ComboFix: нажмите Пуск => Выполнить в окне наберите команду Combofix /Uninstall, нажмите кнопку "ОК"

Скачайте OTCleanIt или с зеркала, запустите, нажмите Clean up[/IMG]

Если файрволл не можете настроить самостоятельно, то попробуйте поискать решение в этом разделе форума http://forum.oszone.net/forum-20.html

Понаблюдайте за поведением системы. Если проблем не будет, отметьте тему как решенную

Большое вам, thyrex, человеческое АРИГАТО. Что касается настроек файерволла - буду искать в других темах форума, и помаленьку учиться. :)

Цитата:

Цитата pv ibn v

буду искать в других темах форума, и помаленьку учиться »

Милости просим - Обучение методам грамотного лечения от вредоносных программ :)