Приложение пытается получить доступ к интернету. - Страница 3

Jay · 11.11.2010, 00:52

Ща качаю... Если правильно смонтирую, попробую.
Курейтом проверял больше половины и вылетел. Ничего ни нашёл...

---------- Добавлено в 01:52 ---------- Предыдущее сообщение было написано в 01:45 ----------

75% скачал, проверять буду уж утром или днём. Ща запишу на диск, если получится...

Jay · 13.11.2010, 01:38

Во, бадяга! Эта зараза не даёт выйти даже на этот сайт и подобные. Нашёл в поисковике ссыль на сайт киберфорума (или типа того), что у какого-то чела вирь не даёт зайти на антивирусные сайты и им подобные, в частности на pchelpforum. Нажал на ссыль - вылетел из интернета, ещё раз - то же самое. Хотя сюда не входил уже два дня, якобы проблемы с соединением.
Додумался попробовать выйти с Алкида в интернет, настроил как-то - и вот я здесь.
Кому не лень читать, опишу что было до этого, так как трабла серьёзная...

Короче как я втемяшил при запуске AVZ, ComboFix и других експлорер перезапускает процесс Winlogon (который просился в интернет и попал). По крайней мере в уведомлениях системы вся эта куча перезапусков эксплорера связана именно с этим процессом. Наверно вирус (троян) его использует. Пробовал выгрузить - не получается, пишет что это критический системный процесс. Я не спорю, хотя не уверен, но ведь раньше, по-моему, я его выгружал да и в процессах его не было.

Просканировал с Dr WEB Live CD. Нашёл 2 штуки: этот chkntfs в автозагрузке и ещё чё-то с командной строкой что-ли связанное (не помню). Удалил. Загрузил систему - всё по прежнему: не запускаются ни AVZ, ни ComboFix. На сайт PCHelpForum не заходит пока.
На диске С появилась папка 32788R22FWJFW с папкой License и пакетными файлами MS-DOS и файл REMOVE_THIS_FILE.livecd.swap.
Кстати как насчёт найденного МВАМ C:\WINDOWS\system32\mndosnet.dll (Trojan.Vundo) -> No action taken.
Мож попробовать удалить?

Нашёл диск зверя с алкидом. На алкиде пытался запустить чё-то от касперского (AVP 8 что ли) - выдал ошибку. Доктор веб уже надоел, Ransom Hide и простым касперам не пробовал. Запустил AVZ с этого алкида.
Копирую проблемы лога AVZ с диска Alkid Live:

1.1 Поиск перехватчиков API, работающих в UserMode
Анализ kernel32.dll, таблица экспорта найдена в секции .text
Детектирована модификация IAT: LoadLibraryA - 6602BCB3<>7C801D77

Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2

>>> X:\autorun.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)

9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации COM файлов
>> Нарушение ассоциации REG файлов
>> Модифицированы префиксы протоколов
>> Заблокирована возможность завершения сеанса
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирован доступ к настройкам принтеров
>> Меню Пуск - заблокированы элементы
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Заблокирована возможность смены темы рабочего стола
В общем, зараза очень умная... Так что, уважаемые спецы, давайте вместе эту заразу уберём!
Имею два лайва: Alkid (с котрого юзаю) и Hiren Boot СD (этот послабее - в интернет выйти недопёр как снего, если можно).
Что ещё можно сделать?

---------- Добавлено в 02:38 ---------- Предыдущее сообщение было написано в 01:40 ----------

Прочитал на одном форуме, что AVP Tool вроде запускается при подобном случае. Сделать лог, потом егошним скриптом разблокировать AVZ и там...
Завтра, если всё получится пришлю лог AVP.

Iljeben · 13.11.2010, 02:32

Цитата:

Сообщение от Jay

Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2

>>> X:\autorun.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности)

9. Мастер поиска и устранения проблем
>> Нарушение ассоциации EXE файлов
>> Нарушение ассоциации COM файлов
>> Нарушение ассоциации REG файлов
>> Модифицированы префиксы протоколов
>> Заблокирована возможность завершения сеанса
>> Заблокирована закладка Заставка в окне свойств экрана
>> Заблокирован доступ к настройкам принтеров
>> Меню Пуск - заблокированы элементы
>> Заблокирован пункт меню Справка и техподдержка
>> Разрешен автозапуск с HDD
>> Разрешен автозапуск с сетевых дисков
>> Разрешен автозапуск со сменных носителей
>> Заблокирована возможность смены темы рабочего стола

Это лог Лайв сиди. Ничего страшного. По поводу незахода на сайт. Пуск-Выполнить в окошке вводим route -f (сначала route потом через пробел -f) нажимаем ОК и перезагружаем комп.

Цитата:

Сообщение от Jay

Кстати как насчёт найденного МВАМ C:\WINDOWS\system32\mndosnet.dll (Trojan.Vundo) -> No action taken.
Мож попробовать удалить?

Удаляй.

Ждем лог AVP Tool.

Jay · 13.11.2010, 14:44

Цитата:

Сообщение от Iljeben

Ждем лог AVP Tool.

Погодь, друг, надо сначала скачать, у себя в системе выкидывает с любой ссылки на него. Даже если ввести в поисковике чё-нибудь со словами Kasperski Virus Removal Tools - и то из браузера выкидывает. Ща качну с алкида, только вот запустился бы AVP.

Iljeben · 13.11.2010, 14:52

Jay, открой Редактор реестра и здесь:

Цитата:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon

в правой таблице найди Userinit. Шелкни по нему два раза и покажи содержимое окна "Значение".

Jay · 13.11.2010, 15:20

С Алкида смотрю:

Userinit REG_SZ Userinit

значение Userinit. Только это надо?

Iljeben · 13.11.2010, 15:32

Если с Алкида.

1. Пуск-Выполнить-regedit. В левой части дерева реестра выбираем HKEY_LOCAL_MACHINE.
2. В меню Реестр выбираем команду Загрузить куст. Откроется окно, находим папку с Windows. Далее идем по пути Windows\System32\config\ находим файл software (без расширения) шелкаем и Открыть. Выйдет окошко даем любое имя. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем. Открываем ее идем по пути Microsoft\Windows NT\CurrentVersion\Winlogon справа находим ключ Userinit.

Jay · 13.11.2010, 15:42

Ага, другое дело...
Значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\iwxvvhj.exe,C:\WINDOWS\system32\fjlosrl.exe,

Kasperski Virus Removal Tool скачался. Грузить свою систему? Выгружаю куст.
Насчёт route -f и перезагрузки попробую. Если выйдет сюда, будет хорошо.

Iljeben · 13.11.2010, 15:53

Jay, из под Alkid найди и удали эти файлы:

Код:

C:\WINDOWS\system 32\iwxvvhj.exe
C:\WINDOWS\system32\fjlosrl.exe

Исправь значение пути Userinit. Должно быть так:

Код:

C:\WINDOWS\system32\userinit.exe,

Перезагрузись и войди в винду. Попробуй сделать лог AVZ (должно получиться).

Jay · 13.11.2010, 16:49

route -f помог - со своей системы на сайте. Скачал этот Kasperski Virus Removal Tool - у меня файл не разпознаётся, не знаю чем открыть, пробовал архиватором - не получается.
На рабочем столе пустая папка Kasperski Virus Removal Tool - при нажатии правой кнопкой, чтоб в свойства там зайти проводник опять сбрасывается.

Jay, из под Alkid найди и удали эти файлы:
Код:

C:\WINDOWS\system 32\iwxvvhj.exe
C:\WINDOWS\system32\fjlosrl.exe

Это попробую.

---------- Добавлено в 17:49 ---------- Предыдущее сообщение было написано в 17:09 ----------

Ща опять на лайве.
C:\WINDOWS\system 32\iwxvvhj.exe
Такого файла нету.
C:\WINDOWS\system32\fjlosrl.exe
Этот удалил.
Ша попробую поправить реестр.
Поправил значение, ща выгружать куст и перезагружать?

Iljeben · 13.11.2010, 17:00

Цитата:

Сообщение от Jay

ща выгружать куст и перезагружать?

Да. После перезагрузки, попробуй запустить AVZ.

Jay · 13.11.2010, 17:18

Огого, а настроение то улучшается!
Всё сделал как ты сказал, перезагрузился, запустил больную винду, AVZ попёр... Обновил базы, сделал скрипт №3, держи лог:

virusinfo_syscure.zip

Iljeben · 13.11.2010, 17:34

Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...):

Код:

begin
SearchRootkit(true, true);
SetAVZGuardStatus(True);
DeleteFile('C:\WINDOWS\system32\fjlosrl.exe');
DeleteFile('C:\WINDOWS\system 32\iwxvvhj.exe');
RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,');
BC_ImportAll;
ExecuteSysClean;
ExecuteWizard('TSW',2,3,true);
BC_Activate;
RebootWindows(true);
end.

После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

Jay · 13.11.2010, 17:47

Держи:
virusinfo_syscheck.zip.

AVG нету по прежнему, IExplorer виснет при запуске.
И чё с этой папкой C:\Documents and Settings\Admin\Local Settings\Temp - там же полна горница...

Iljeben · 13.11.2010, 18:29

Попробуй переустановить AVG. С папкой Temp это нормально.

13.11.2010, 01:38	#32 (ссылка)
Jay Знаток Регистрация: 12.08.2010 Сообщений: 2,275 Записей в блоге: 1 Репутация: 180	Во, бадяга! Эта зараза не даёт выйти даже на этот сайт и подобные. Нашёл в поисковике ссыль на сайт киберфорума (или типа того), что у какого-то чела вирь не даёт зайти на антивирусные сайты и им подобные, в частности на pchelpforum. Нажал на ссыль - вылетел из интернета, ещё раз - то же самое. Хотя сюда не входил уже два дня, якобы проблемы с соединением. Додумался попробовать выйти с Алкида в интернет, настроил как-то - и вот я здесь. Кому не лень читать, опишу что было до этого, так как трабла серьёзная... Короче как я втемяшил при запуске AVZ, ComboFix и других експлорер перезапускает процесс Winlogon (который просился в интернет и попал). По крайней мере в уведомлениях системы вся эта куча перезапусков эксплорера связана именно с этим процессом. Наверно вирус (троян) его использует. Пробовал выгрузить - не получается, пишет что это критический системный процесс. Я не спорю, хотя не уверен, но ведь раньше, по-моему, я его выгружал да и в процессах его не было. Просканировал с Dr WEB Live CD. Нашёл 2 штуки: этот chkntfs в автозагрузке и ещё чё-то с командной строкой что-ли связанное (не помню). Удалил. Загрузил систему - всё по прежнему: не запускаются ни AVZ, ни ComboFix. На сайт PCHelpForum не заходит пока. На диске С появилась папка 32788R22FWJFW с папкой License и пакетными файлами MS-DOS и файл REMOVE_THIS_FILE.livecd.swap. Кстати как насчёт найденного МВАМ C:\WINDOWS\system32\mndosnet.dll (Trojan.Vundo) -> No action taken. Мож попробовать удалить? Нашёл диск зверя с алкидом. На алкиде пытался запустить чё-то от касперского (AVP 8 что ли) - выдал ошибку. Доктор веб уже надоел, Ransom Hide и простым касперам не пробовал. Запустил AVZ с этого алкида. Копирую проблемы лога AVZ с диска Alkid Live: 1.1 Поиск перехватчиков API, работающих в UserMode Анализ kernel32.dll, таблица экспорта найдена в секции .text Детектирована модификация IAT: LoadLibraryA - 6602BCB3<>7C801D77 Внимание ! Обнаружены ошибки в SPI/LSP. Количество ошибок - 2 >>> X:\autorun.exe ЭПС: подозрение на Файл с подозрительным именем (высокая степень вероятности) 9. Мастер поиска и устранения проблем >> Нарушение ассоциации EXE файлов >> Нарушение ассоциации COM файлов >> Нарушение ассоциации REG файлов >> Модифицированы префиксы протоколов >> Заблокирована возможность завершения сеанса >> Заблокирована закладка Заставка в окне свойств экрана >> Заблокирован доступ к настройкам принтеров >> Меню Пуск - заблокированы элементы >> Заблокирован пункт меню Справка и техподдержка >> Разрешен автозапуск с HDD >> Разрешен автозапуск с сетевых дисков >> Разрешен автозапуск со сменных носителей >> Заблокирована возможность смены темы рабочего стола В общем, зараза очень умная... Так что, уважаемые спецы, давайте вместе эту заразу уберём! Имею два лайва: Alkid (с котрого юзаю) и Hiren Boot СD (этот послабее - в интернет выйти недопёр как снего, если можно). Что ещё можно сделать? ---------- Добавлено в 02:38 ---------- Предыдущее сообщение было написано в 01:40 ---------- Прочитал на одном форуме, что AVP Tool вроде запускается при подобном случае. Сделать лог, потом егошним скриптом разблокировать AVZ и там... Завтра, если всё получится пришлю лог AVP. Последний раз редактировалось Jay; 13.11.2010 в 01:04.

13.11.2010, 15:42	#38 (ссылка)
Jay Знаток Регистрация: 12.08.2010 Сообщений: 2,275 Записей в блоге: 1 Репутация: 180	Ага, другое дело... Значение: C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system 32\iwxvvhj.exe,C:\WINDOWS\system32\fjlosrl.exe, Kasperski Virus Removal Tool скачался. Грузить свою систему? Выгружаю куст. Насчёт route -f и перезагрузки попробую. Если выйдет сюда, будет хорошо. Последний раз редактировалось Jay; 13.11.2010 в 15:55.

13.11.2010, 15:53	#39 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Jay, из под Alkid найди и удали эти файлы: Код: C:\WINDOWS\system 32\iwxvvhj.exe C:\WINDOWS\system32\fjlosrl.exe Исправь значение пути Userinit. Должно быть так: Код: C:\WINDOWS\system32\userinit.exe, Перезагрузись и войди в винду. Попробуй сделать лог AVZ (должно получиться).

13.11.2010, 17:34	#43 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Выполните в AVZ следующий скрипт (AVZ-Файл-Выполнить скрипт...): Код: begin SearchRootkit(true, true); SetAVZGuardStatus(True); DeleteFile('C:\WINDOWS\system32\fjlosrl.exe'); DeleteFile('C:\WINDOWS\system 32\iwxvvhj.exe'); RegKeyStrParamWrite('HKLM', 'SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon', 'UserInit', GetEnvironmentVariable('SystemRoot')+'\system32\userinit.exe,'); BC_ImportAll; ExecuteSysClean; ExecuteWizard('TSW',2,3,true); BC_Activate; RebootWindows(true); end. После выполнения скрипта комп перезагрузиться. Выполните в AVZ Стандартный скрипт 2 и пришлите архив virusinfo_syscheck.zip.

13.11.2010, 17:47	#44 (ссылка)
Jay Знаток Регистрация: 12.08.2010 Сообщений: 2,275 Записей в блоге: 1 Репутация: 180	Держи: virusinfo_syscheck.zip. AVG нету по прежнему, IExplorer виснет при запуске. И чё с этой папкой C:\Documents and Settings\Admin\Local Settings\Temp - там же полна горница... Последний раз редактировалось Jay; 13.11.2010 в 17:52.

11.11.2010, 00:52	#31 (ссылка)
Jay Знаток Регистрация: 12.08.2010 Сообщений: 2,275 Записей в блоге: 1 Репутация: 180	Ща качаю... Если правильно смонтирую, попробую. Курейтом проверял больше половины и вылетел. Ничего ни нашёл... ---------- Добавлено в 01:52 ---------- Предыдущее сообщение было написано в 01:45 ---------- 75% скачал, проверять буду уж утром или днём. Ща запишу на диск, если получится...

13.11.2010, 15:20	#36 (ссылка)
Jay Знаток Регистрация: 12.08.2010 Сообщений: 2,275 Записей в блоге: 1 Репутация: 180	С Алкида смотрю: Userinit REG_SZ Userinit значение Userinit. Только это надо?

13.11.2010, 15:32	#37 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Если с Алкида. 1. Пуск-Выполнить-regedit. В левой части дерева реестра выбираем HKEY_LOCAL_MACHINE. 2. В меню Реестр выбираем команду Загрузить куст. Откроется окно, находим папку с Windows. Далее идем по пути Windows\System32\config\ находим файл software (без расширения) шелкаем и Открыть. Выйдет окошко даем любое имя. В ветке HKEY_LOCAL_MACHINE появится папка с заданным именем. Открываем ее идем по пути Microsoft\Windows NT\CurrentVersion\Winlogon справа находим ключ Userinit.

13.11.2010, 16:49	#40 (ссылка)
Jay Знаток Регистрация: 12.08.2010 Сообщений: 2,275 Записей в блоге: 1 Репутация: 180	route -f помог - со своей системы на сайте. Скачал этот Kasperski Virus Removal Tool - у меня файл не разпознаётся, не знаю чем открыть, пробовал архиватором - не получается. На рабочем столе пустая папка Kasperski Virus Removal Tool - при нажатии правой кнопкой, чтоб в свойства там зайти проводник опять сбрасывается. Jay, из под Alkid найди и удали эти файлы: Код: C:\WINDOWS\system 32\iwxvvhj.exe C:\WINDOWS\system32\fjlosrl.exe Это попробую. ---------- Добавлено в 17:49 ---------- Предыдущее сообщение было написано в 17:09 ---------- Ща опять на лайве. C:\WINDOWS\system 32\iwxvvhj.exe Такого файла нету. C:\WINDOWS\system32\fjlosrl.exe Этот удалил. Ша попробую поправить реестр. Поправил значение, ща выгружать куст и перезагружать?

13.11.2010, 17:18	#42 (ссылка)
Jay Знаток Регистрация: 12.08.2010 Сообщений: 2,275 Записей в блоге: 1 Репутация: 180	Огого, а настроение то улучшается! Всё сделал как ты сказал, перезагрузился, запустил больную винду, AVZ попёр... Обновил базы, сделал скрипт №3, держи лог: virusinfo_syscure.zip

13.11.2010, 18:29	#45 (ссылка)
Iljeben Мастер Регистрация: 27.10.2008 Сообщений: 9,488 Записей в блоге: 4 Репутация: 702	Попробуй переустановить AVG. С папкой Temp это нормально.

Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)

Похожие темы
Тема	Автор	Раздел	Ответов	Последнее сообщение
Как получить доступ в интернет, если его заблокировал админ локальной сети.	zlobvet	Интернет и сети	2	27.09.2010 10:30
Общий доступ к интернету через беспроводную сеть в Windows 7	vasiliy-1234	Интернет и сети	7	27.06.2010 11:32
БП пытается заводиться, но не заводится	Litoy.88	Неисправности, настройка	12	28.04.2010 16:44
Комп пытается работать, но тормозит	chizes	Неисправности, настройка	8	18.03.2010 11:19
Как получить доступ к файлам	MSM05	Windows XP	3	18.03.2010 07:08
Не могу получить доступ к диску!	shumer20	Неисправности, настройка	0	21.02.2010 17:34
Как сделать так чтоб два компа одновременно имели доступ к интернету?	Mr. ArveL	Интернет и сети	5	03.02.2010 09:32
Система пытается загрузиться, выгружается и так до бесконечности	JohneyWalker	Безопасность	2	21.09.2009 23:28
Доступ к интернету постороним компьютерам в сети!	Grouchyman	Windows Vista	2	09.09.2009 16:47
Получить доступ к компам в локалке.	ppsbkwmcrs	Интернет и сети	2	09.03.2009 01:18
Как создать доступ к интернету с удалённого компьютера?	Tristan	Железо	2	26.06.2008 15:14
Возможно ли настроить такой доступ к интернету?	Romas20072007	Интернет и сети	5	12.01.2008 15:32

Ads

Ads