Постоянный обрыв интернет-соединения/ зависание системы намертво. Подозрение на вирус

hea · 10.09.2010, 21:20

Здравствуйте, уважаемые специалисты!

У меня такая проблема: во-первых, постоянно прерывается интернет-соединение, при этом в Process Explorer появляется процесс rasautou.exe. Также постоянно присутствует svchost.exe - 8 штук (Windows XP). Один из них при зависании грузит систему на 50 ЦП (см. далее)

Во-вторых, очень часто сначала виснет браузер, а потом вся система полностью. Абсолютно никакой реакции - курсор не движется, при попытке нажатия клавиш или кнопок мышки из системника раздается звук, и помогает только reset.

Надеюсь на ваше участие, заранее спасибо.

virusinfo_syscure

hijackthis

monte-kristo · 10.09.2010, 21:42

Здравствуйте!

Перед началом лечения необходимо отключить имеющиеся на Вашем компьютере антивирус и фаервол.
Отключить соединение с интернетом.

Запустите AVZ, откройте меню "Файл - Выполнить скрипт"
-- Скопируйте ниже написанный скрип и нажмите кнопку "Запустить".

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\160.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\333.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\484.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\499.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\522.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\614.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\642.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\709.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\732.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\783.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\824.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\857.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\903.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\911.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\964.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\966.exe');
 DeleteFile('c:\docume~1\f942~1\locals~1\temp\993.exe');
 DeleteFile('c:\documents and settings\александра\local settings\temp\_uninst_.bat');
 DeleteFile('C:\WINDOWS\system32\bndmss.exe');
 DeleteFile('C:\Documents and Settings\Александра\Local Settings\Temp\_uninst_setup_9.0.0.722_04.08.2010_09-27.exe.bat');
 DeleteFileMask('C:\DOCUME~1\F942~1\LOCALS~1\Temp\', '*.*', true);
 DeleteFileMask('C:\Documents and Settings\Александра\Local Settings\Temp\', '*.*', true); 
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd','StartupPrograms');
 RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('WinDir')+'\system32\userinit.exe,');
 RegKeyParamDel('HKEY_LOCAL_MACHINE','System\CurrentControlSet\Control\Terminal Server\Wds\rdpwd','StartupPrograms');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта компьютер перезагрузится. Логи повторите!
Iljeben, что ж ты делаешь??? Твой скрипт неверен! И может ты догадываешься почему?

Iljeben · 10.09.2010, 22:01

Цитата:

Сообщение от monte-kristo

Iljeben, что ж ты делаешь??? Твой скрипт неверен! И может ты догадываешься почему?

Пипец! monte-kristo, сколько раз тебе говорить, что скрипт составленный таким образом работает? Естественно, кроме случаев описанных тобой в личке.

Ты сперва результаты работы скриптов поизучай, а потом рассуждай.

Iljeben · 10.09.2010, 22:04

Цитата:

Сообщение от monte-kristo

После выполнения скрипта компьютер перезагрузится. Логи повторите!

hea, скачайте актуальную версию AVZ (4.35 у Вас 4.34) обновите базы. Потом повторяйте логи.

hea · 10.09.2010, 23:13

Огромное спасибо вам!

monte-kristo, пока вроде работает)

Iljeben, сделала)

Мм ребята, можно пожалуйста вас еще напрячь и изъяснить, в чем состояла суть проблемы и как избежать ее в дальнейшем? У меня, например, нет файервола, знаю, я молодец)) Я реально без мозга себя оставила с этой дрянью. Просто не хочется, чтобы в дальнейшем такая гадость случалась

зы. Восстановление системы включать?

Iljeben · 10.09.2010, 23:19

Цитата:

Сообщение от hea

Iljeben, сделала)

Где логи? Выполните в AVZ Стандартный скрипт N2 и пришлите архив virusinfo_syscheck.zip.

hea · 10.09.2010, 23:53

Iljeben, virusinfo_syscheck

---------- Добавлено в 00:53 ---------- Предыдущее сообщение было написано в 00:36 ----------

да, погорячилась я. опять все зависло и инет вылетает, правда, не так часто((

Iljeben · 10.09.2010, 23:53

hea, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
 DeleteService('PavTPK.sys');
 DeleteService('PavSRK.sys');
 DeleteFile('C:\WINDOWS\system32\PavSRK.sys');
 DeleteFile('C:\WINDOWS\system32\PavTPK.sys');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 3 и пришлите архив virusinfo_syscure.zip. Плюс новый лог hijackthis.

hea · 11.09.2010, 00:37

hijackthis

virusinfo_syscure

Iljeben · 11.09.2010, 01:00

hea, пофиксите в hijackthis:

Код:

R3 - URLSearchHook: (no name) - - (no file)
O2 - BHO: giulibP - {7EE302EE-420D-4195-A6D9-41B985F2655E} - (no file)

Вот такой лог выполните:

Цитата:

1. Скачайте установочный файл mbam-setup.exe
Здесь: http://www.besttechie.net/mbam/mbam-setup.exe
Или ссылка здесь: http://www.malwarebytes.org/mbam-download.php
2. Установите ее по стандартному пути с настройками по умолчанию.
3. Обновите базы программы!!!
4. Запустите полное сканирование. Ничего не удаляйте (много ложных срабатываний)!!!
5. По окончании сканирования будет сгенерирован лог.
6. Залейте его без переименования на файлообменник и ссыку выложите на форум.

monte-kristo · 11.09.2010, 16:35

Iljeben,

Цитата:

DeleteFile('rdpclipC:\WINDOWS\system32\bndmss.exeC :\DOCUME~1\F942~1\LOCALS~1\Temp\487.exeC:\DOCUME~1 \F942~1\LOCALS~1\Temp\361.exeC:\DOCUME~1\F942~1\LO CALS~1\Temp\129.exeC:\DOCUME~1\F942~1\LOCALS~1\Tem p\666.exeC:\DOCUME~1\F942~1\LOCALS~1\Temp\499.exeC :\DOCUME~1\F942~1\LOCALS~1\Temp\677.exeC:\DOCUME~1 \F942~1\LOCALS~1\Temp\798.exeC:\DOCUME~1\F942~1\LO CALS~1\Temp\902.exeC:\DOCUME~1\F942~1\LOCALS~1\Tem p\121.exeC:\DOCUME~1\F942~1\LOCALS~1\Temp\793.exeC :\DOCUME~1\F942~1\LOCALS~1\Temp\779.exeC:\DOCUME~1 \F942~1\LOCALS~1\Temp\775.exeC:\DOCUME~1\F942~1\LO CALS~1\Temp\481.exeC:\DOCUME~1\F942~1\LOCALS~1\Tem p\312.exeC:\DOCUME~1\F942~1\LOCALS~1\Temp\448.exeC :\DOCUME~1\F942~1\LOCALS~1\Temp\333.exeC:\DOCUME~1 \F942~1\LOCALS~1\Temp\903.exeC:\DOCUME~1\F942~1\LO CALS~1\Temp\857.exeC:\DOCUME~1\F942~1\LOCALS~1\Tem p\783.exeC:\DOCUME~1\F942~1\LOCALS~1\Temp\911.exeC :\DOCUME~1\F942~1\LOCALS~1\Temp\642.exeC:\DOCUME~1 \F942~1\LOCALS~1\Temp\522.exeC:\DOCUME~1\F942~1\LO CALS~1\Temp\709.exeC:\DOCUME~1\F942~1\LOCALS~1\Tem p\966.exeC:\DOCUME~1\F942~1\LOCALS~1\Temp\160.exeC :\DOCUME~1\F942~1\LOCALS~1\Temp\964.exeC:\DOCUME~1 \F942~1\LOCALS~1\Temp\993.exeC:\DOCUME~1\F942~1\LO CALS~1\Temp\732.exeC:\DOCUME~1\F942~1\LOCALS~1\Tem p\484.exeC:\DOCUME~1\F942~1\LOCALS~1\Temp\824.exeC :\DOCUME~1\F942~1\LOCALS~1\Temp\614.exe');

что же по твоему удалится? Проверяй на своем ПК! Все вредоносные объекты под один! Ничего не удалится!!! Все останется! Приведенный случай в ЛС аналогичен!

Iljeben · 11.09.2010, 16:55

monte-kristo, если висить на одной строке (в логе) как в нашем случае, то удалиться. А если насобирать файлы со всего лога, то нет (как в твоем примере по ЛС).
Если сам столкнешься с таким случаем, можешь проверить. Работает!!!

hea · 12.09.2010, 02:36

я либо совсем отупела, либо папки Application data и всего ее содержимого нет. хотя адрес места логов поиск показывает. в общем я не могу открыть папку с логами и залить на файлообменник соответственно тоже. что делать?

hea · 12.09.2010, 15:53

mbam-log-2010-09-12 (03-12-58)

в общем сохранила я лог в другую папку

monte-kristo · 12.09.2010, 16:41

hea, лог чист! Что с проблемой?

10.09.2010, 21:20	#1 (ссылка)
hea Новичок Регистрация: 10.09.2010 Сообщений: 12 Репутация: 0	Постоянный обрыв интернет-соединения/ зависание системы намертво. Подозрение на вирус Здравствуйте, уважаемые специалисты! У меня такая проблема: во-первых, постоянно прерывается интернет-соединение, при этом в Process Explorer появляется процесс rasautou.exe. Также постоянно присутствует svchost.exe - 8 штук (Windows XP). Один из них при зависании грузит систему на 50 ЦП (см. далее) Во-вторых, очень часто сначала виснет браузер, а потом вся система полностью. Абсолютно никакой реакции - курсор не движется, при попытке нажатия клавиш или кнопок мышки из системника раздается звук, и помогает только reset. Надеюсь на ваше участие, заранее спасибо. virusinfo_syscure hijackthis

10.09.2010, 23:53	#8 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	hea, выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteService('PavTPK.sys'); DeleteService('PavSRK.sys'); DeleteFile('C:\WINDOWS\system32\PavSRK.sys'); DeleteFile('C:\WINDOWS\system32\PavTPK.sys'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 3 и пришлите архив virusinfo_syscure.zip. Плюс новый лог hijackthis.

12.09.2010, 02:36	#13 (ссылка)
hea Новичок Регистрация: 10.09.2010 Сообщений: 12 Репутация: 0	я либо совсем отупела, либо папки Application data и всего ее содержимого нет. хотя адрес места логов поиск показывает. в общем я не могу открыть папку с логами и залить на файлообменник соответственно тоже. что делать? Последний раз редактировалось hea; 12.09.2010 в 02:48.

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
исходящая скорость интернет соединения скачет от 5 мбит до 10 кбит,или ее вообще нет.	alex1981	Безопасность	3	19.12.2010 23:06
подозрение на вирус	Виктор_ВладимировичЭ	Безопасность	4	02.12.2010 10:53
Подозрение на вирус	LeNox	Безопасность	9	01.12.2010 14:31
Проблема с разрывом интернет соединения. Проверка на вирусы.	kykypy3a242	Windows 7	36	24.07.2010 13:31
Постоянный звук и Постоянный Запуск OUTLOOK	Кирилл Волосатый	Безопасность	9	31.05.2010 09:30
Зависание системы	Promrak	Неисправности, настройка	2	16.05.2010 21:54
Подозрение на вирус	goldmund	Безопасность	10	14.01.2010 16:54
Нет соединения с интернет	Domovoi	Интернет и сети	1	18.12.2009 12:19
2 активных интернет соединения	aKsI	Интернет и сети	1	26.10.2009 14:39
Подозрение на вирус.	diversant	Безопасность	14	28.04.2009 23:52
GameBoost - оптимизация системы и интернет-соединения	Антон	Утилиты	1	09.12.2007 22:04

10.09.2010, 23:13	#5 (ссылка)
hea Новичок Регистрация: 10.09.2010 Сообщений: 12 Репутация: 0	Огромное спасибо вам! monte-kristo, пока вроде работает) Iljeben, сделала) Мм ребята, можно пожалуйста вас еще напрячь и изъяснить, в чем состояла суть проблемы и как избежать ее в дальнейшем? У меня, например, нет файервола, знаю, я молодец)) Я реально без мозга себя оставила с этой дрянью. Просто не хочется, чтобы в дальнейшем такая гадость случалась зы. Восстановление системы включать?

10.09.2010, 23:53	#7 (ссылка)
hea Новичок Регистрация: 10.09.2010 Сообщений: 12 Репутация: 0	Iljeben, virusinfo_syscheck ---------- Добавлено в 00:53 ---------- Предыдущее сообщение было написано в 00:36 ---------- да, погорячилась я. опять все зависло и инет вылетает, правда, не так часто((

11.09.2010, 00:37	#9 (ссылка)
hea Новичок Регистрация: 10.09.2010 Сообщений: 12 Репутация: 0	hijackthis virusinfo_syscure

11.09.2010, 16:55	#12 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	monte-kristo, если висить на одной строке (в логе) как в нашем случае, то удалиться. А если насобирать файлы со всего лога, то нет (как в твоем примере по ЛС). Если сам столкнешься с таким случаем, можешь проверить. Работает!!!

12.09.2010, 15:53	#14 (ссылка)
hea Новичок Регистрация: 10.09.2010 Сообщений: 12 Репутация: 0	mbam-log-2010-09-12 (03-12-58) в общем сохранила я лог в другую папку

12.09.2010, 16:41	#15 (ссылка)
monte-kristo Новичок Регистрация: 15.11.2008 Сообщений: 1,040 Репутация: 40	hea, лог чист! Что с проблемой?

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Ads