Проблема с вирусами при подключении к интернет.

@Kiv · Регистрация: 17.06.2011

Доброе всем время суток. У меня такая проблема: При подключении к интернет через некоторое время, примерно 5 мин. выползают вирусы (H001.exe, H002.exe, A23.exe. J001.exe, tcpwammlib.exe) и тому подобное, все сидят в system32. Прверял систему Антивирусами, они их находили и удаляли. Этих вирусов нет пока нет подключения к интернет, но стоит только подключиться как они опять полезли! Помогите пожалуста, буду очень благодарен, мучаюсь уже три недели.....

@~~Katharsis~~ · 02.09.2011, 08:22

Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему

@Kiv · 02.09.2011, 10:22 **[ТС]**

Вот логи:

@~~Katharsis~~ · 02.09.2011, 11:03

log.txt (RSIT) запакуйте и выложите.

@Kiv · 02.09.2011, 11:09 **[ТС]**

log.txt

@~~Katharsis~~ · 02.09.2011, 12:19

>> Обнаружен набор команд, запускаемых при старте cmd.exe

Вами сделано?

1. Проверьте на virustotal.com:

C:\WINDOWS\system32\Drivers\pcidump.sys

ссылку на результат запостите здесь

2.Ваша система не обновляется, т к обновления для Windows SP2 больше не выпускаются! Вам необходимо установить Service Pack 3 (может потребоваться активация) Почему важно обновлять Windows и установленные в ней программы

В целях безопасности скачайте и установите Internet Explorer 8

3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО.
AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить.

Код

var
 Lines : TStrings;
 i : integer;
begin
 Lines := TStringList.Create;
 SearchFiles('%WinDir%\system32\i5820', '*', Lines, true, false);
 for i:= 0 to Lines.Count-1 do
  AddToLog(Lines[i]);
 Lines.Free;
 SaveLog(GetAVZDirectory + 'i5820.log');
 ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false);
 SearchRootkit(true, true);
 SetAVZGuardStatus(True);
 QuarantineFile('C:\WINDOWS\system32\Drivers\pcidump.sys','');
 QuarantineFile('C:\WINDOWS\Tmp.ini','');
 QuarantineFile('C:\WINDOWS\bj.txt','');
 QuarantineFile('C:\WINDOWS\tj.txt','');
 DeleteFile('C:\WINDOWS\Tmp.ini');
BC_ImportAll;
ExecuteSysClean;
BC_Activate;
RebootWindows(true);
end.

после перезагрузки выполнить второй скрипт:

Код

begin
 CreateQurantineArchive(GetAVZDirectory+'quarantine.zip');
end.

В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме.

4.скачайте Hijackthis и сделайте повторные логи avz и rsit.

5. Обновите Malwarebytes' Anti-Malware и сдеолайте лог полного сканирования. Ничего из найденного сами не удаляйте.

6. файл i5820.log из папки AVZ4 выложите

@Kiv · 02.09.2011, 15:48 **[ТС]**

Windows S.P.3 т.к. комп рабочий, работают на нем бухи и проги на которых они работают ведут себя стабильно только на S.P.2, включая программы криптографической защиты и выделенные каналы связи, поэтому не могу обновить систему.

1. на virustotal.com: http://www.virustotal.com/file... 1314963069

файд i5820.log не заполняеться, а файлы log.txt и virusinfo_syscheck.zip остались теже самые
2.ЛОГИ:

@~~Katharsis~~ · 02.09.2011, 16:11

карантины выкладывать не нужно, а log.txt и virusinfo_syscheck.zip не могут быть теми же самыми. Сделайте повторно и выложите.

Добавлено через 27 секунд

Сообщение от Katharsis

>> Обнаружен набор команд, запускаемых при старте cmd.exe
Вами сделано?

вы не ответили на вопрос.

@Kiv · 02.09.2011, 16:23 **[ТС]**

нет, это сделано не мной.

Новые логи смогу сделать теперь уже только 05.09.2011.

@thyrex · 02.09.2011, 19:31

Microsoft SQL Server - установите все патчи. Зараза может пролазить и через его уязвимости

Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол.

1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix.
2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению.
Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe

@Kiv · 05.09.2011, 08:58 **[ТС]**

Извеняюсь за причененные неудобства.
Недостающие ЛОГИ:

@Kiv · 05.09.2011, 09:24 **[ТС]**

Вот файл:

@~~Katharsis~~ · 05.09.2011, 11:46

Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.*

Код

Folder::
C:\WINDOWS\system32\i5820
Registry::
[-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHELP32]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor]
"AutoRun"=-
Reboot::

После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe.

компьютер перезагрузится
Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению.

не вижу. чтобы вы установили обновления.

Сообщение от thyrex

Microsoft SQL Server - установите все патчи. Зараза может пролазить и через его уязвимости

скачайте и установите обновления для безопасности windows xp sp2, хотя бы критические и важные. Выбрать "что тут было раньше" - "Посмотреть список обновлений Windows XP SP2"

Установочный диск с windows xp sp2 у вас есть?

@Kiv · 05.09.2011, 12:47 **[ТС]**

Ребята, дело не в том какая у меня версия операционной системы и MSQL Server, разработчики бух.прог на которых спецы работают мне сказали "эта программа стабильно работает только на ......." в общем на том, что установленно сейчас. Не надо ничего обновлять, помогите найти этот долбанный вирус.

@~~Katharsis~~ · 05.09.2011, 12:59

Сообщение от Kiv

Не надо ничего обновлять, помогите найти этот долбанный вирус.

Заплатки же не просто так выпускаются, а как раз для этих целей - перекрыть лазейки вирусам. А вы хотите виря убить, а источник его проникновения оставить открытым. Это не надолго, будет заводиться снова и снова, и как раз сейчас это и происходит.

Сообщение от Katharsis

Установочный диск с windows xp sp2 у вас есть?

вы не ответили на вопрос (я не предлагаю вам ничего переустанавливать - пока)

@Kiv · 05.09.2011, 13:59 **[ТС]**

Есть.

@~~Katharsis~~ · 05.09.2011, 14:30

нужно заменить winlogon.exe

загрузитесь с установочного диска win xp, после копирования файлов, будет предложено на выбор: продолжение установки – Enter, выход из установки – F3, консоль восстановления – R. Нажмите "R", войдите в систему.

Команды, после каждой enter

cd X:\i386

X – буква привода в котором находится дистрибутив

expand winlogon.ex_ c:\windows\system32\winlogon.exe

exit

загрузитесь с hdd и повторите лог combofix

@Kiv · 05.09.2011, 14:59 **[ТС]**

При наборе команды expand winlogon.ex_ c:\windows\system32\winlogon.exe выдает ошибку - Отказано в доступе

@~~Katharsis~~ · 05.09.2011, 15:09

И это при входе с паролем администратора? Проверьте, всё ли вы правильно делаете. Ну и накрайняк заменить файл можно будет загрузившись с любого livecd. winlogon.exe предварительно распакуйте на чистой машине из X:\i386 командой

expand X:\i386\winlogon.ex_ путь_для_распаковки\winlogon.exe

X: - диск с дистрибутивом
загрузите зараженную машину с livecd и замените winlogon.exe, допустим с флешки в каталогах c:\windows\system32\ и c:\windows\system32\dllcache

@Kiv · 06.09.2011, 09:51 **[ТС]**

Я наверно совсем валенок!!!
Но при загрузке с установочного диска win xp, система не спрашивает под каким именем зайти, а прсто начинаеться копирование файлов.
Пробовал загрузиться с флешки, так ее совсем не видит, sp3 загружаеться, а sp2 нет.
Или скорее всего я опять что-то не так делаю.

@Kiv 0 / 0 / 0 Регистрация: 17.06.2011 Сообщений: 27
	05.09.2011, 14:59 [ТС]	18
	При наборе команды expand winlogon.ex_ c:\windows\system32\winlogon.exe выдает ошибку - Отказано в доступе 0

@~~Katharsis~~ Заблокирован
	02.09.2011, 08:22	2
	Правила оформления запроса лечения. Если не будет логов, мы отправим вас в эту тему 0

@~~Katharsis~~ Заблокирован
	02.09.2011, 11:03	4
	log.txt (RSIT) запакуйте и выложите. 0

@~~Katharsis~~ Заблокирован
	02.09.2011, 12:19	6
	>> Обнаружен набор команд, запускаемых при старте cmd.exe Вами сделано? 1. Проверьте на virustotal.com: C:\WINDOWS\system32\Drivers\pcidump.sys ссылку на результат запостите здесь 2.Ваша система не обновляется, т к обновления для Windows SP2 больше не выпускаются! Вам необходимо установить Service Pack 3 (может потребоваться активация) Почему важно обновлять Windows и установленные в ней программы В целях безопасности скачайте и установите Internet Explorer 8 3. Перед выполнением скрипта выгрузите антивирусное и защитное ПО. AVZ, меню Файл - Выполнить скрипт - Скопировать ниже написанный скрипт-Нажать кнопку Запустить. Код var Lines : TStrings; i : integer; begin Lines := TStringList.Create; SearchFiles('%WinDir%\system32\i5820', '*', Lines, true, false); for i:= 0 to Lines.Count-1 do AddToLog(Lines[i]); Lines.Free; SaveLog(GetAVZDirectory + 'i5820.log'); ExecuteFile('net.exe', 'stop tcpip /y', 0, 90000, false); SearchRootkit(true, true); SetAVZGuardStatus(True); QuarantineFile('C:\WINDOWS\system32\Drivers\pcidump.sys',''); QuarantineFile('C:\WINDOWS\Tmp.ini',''); QuarantineFile('C:\WINDOWS\bj.txt',''); QuarantineFile('C:\WINDOWS\tj.txt',''); DeleteFile('C:\WINDOWS\Tmp.ini'); BC_ImportAll; ExecuteSysClean; BC_Activate; RebootWindows(true); end. после перезагрузки выполнить второй скрипт: Код begin CreateQurantineArchive(GetAVZDirectory+'quarantine.zip'); end. В результате выполнения скрипта будет сформирован карантин quarantine.zip. Отправьте полученный файл quarantine.zip из папки AVZ через данную форму. Укажите ссылку на тему и ник на форуме. 4.скачайте Hijackthis и сделайте повторные логи avz и rsit. 5. Обновите Malwarebytes' Anti-Malware и сдеолайте лог полного сканирования. Ничего из найденного сами не удаляйте. 6. файл i5820.log из папки AVZ4 выложите 1

@~~Katharsis~~ Заблокирован
	02.09.2011, 16:11	8
	карантины выкладывать не нужно, а log.txt и virusinfo_syscheck.zip не могут быть теми же самыми. Сделайте повторно и выложите. Добавлено через 27 секунд Сообщение от Katharsis >> Обнаружен набор команд, запускаемых при старте cmd.exe Вами сделано? вы не ответили на вопрос. 0

@Kiv 0 / 0 / 0 Регистрация: 17.06.2011 Сообщений: 27
	02.09.2011, 16:23 [ТС]	9
	нет, это сделано не мной. Новые логи смогу сделать теперь уже только 05.09.2011. 0

@thyrex 11318 / 6432 / 1333 Регистрация: 06.09.2009 Сообщений: 24,365
	02.09.2011, 19:31	10
	Microsoft SQL Server - установите все патчи. Зараза может пролазить и через его уязвимости Скачайте ComboFix здесь, здесь или здесь и сохраните на рабочий стол. 1. Внимание! Обязательно закройте все браузеры, временно выключите антивирус, firewall и другое защитное программное обеспечение. Не запускайте других программ во время работы Combofix. Combofix может отключить интернет через некоторое время после запуска, не переподключайте интернет, пока Combofix не завершит работу. Если интернет не появился после окончания работы Combofix, перезагрузите компьютер. Во время работы Combofix не нажимайте кнопки мыши, это может стать причиной зависания Combofix. 2. Запустите combofix.exe, когда процесс завершится, файл C:\ComboFix.txt прикрепите к сообщению. Примечание: В случае, если ComboFix не запускается, переименуйте combofix.exe в combo@fix.exe 0

@~~Katharsis~~ Заблокирован
	05.09.2011, 11:46	13
	Скопируйте текст ниже в блокнот и сохраните как файл с названием CFScript.txt на рабочий стол.* Код Folder:: C:\WINDOWS\system32\i5820 Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_WINHELP32] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Command Processor] "AutoRun"=- Reboot:: После сохранения переместите CFScript.txt на пиктограмму ComboFix.exe. компьютер перезагрузится Когда сохранится новый отчет ComboFix, запакуйте ComboFix.txt и прикрепите к сообщению. не вижу. чтобы вы установили обновления. Сообщение от thyrex Microsoft SQL Server - установите все патчи. Зараза может пролазить и через его уязвимости скачайте и установите обновления для безопасности windows xp sp2, хотя бы критические и важные. Выбрать "что тут было раньше" - "Посмотреть список обновлений Windows XP SP2" Установочный диск с windows xp sp2 у вас есть? 0

@~~Katharsis~~ Заблокирован
	05.09.2011, 12:59	15
	Сообщение от Kiv Не надо ничего обновлять, помогите найти этот долбанный вирус. Заплатки же не просто так выпускаются, а как раз для этих целей - перекрыть лазейки вирусам. А вы хотите виря убить, а источник его проникновения оставить открытым. Это не надолго, будет заводиться снова и снова, и как раз сейчас это и происходит. Сообщение от Katharsis Установочный диск с windows xp sp2 у вас есть? вы не ответили на вопрос (я не предлагаю вам ничего переустанавливать - пока) 0

@Kiv 0 / 0 / 0 Регистрация: 17.06.2011 Сообщений: 27
	05.09.2011, 13:59 [ТС]	16
	Есть. 0

@~~Katharsis~~ Заблокирован
	05.09.2011, 14:30	17
	нужно заменить winlogon.exe загрузитесь с установочного диска win xp, после копирования файлов, будет предложено на выбор: продолжение установки – Enter, выход из установки – F3, консоль восстановления – R. Нажмите "R", войдите в систему. Команды, после каждой enter cd X:\i386 X – буква привода в котором находится дистрибутив expand winlogon.ex_ c:\windows\system32\winlogon.exe exit загрузитесь с hdd и повторите лог combofix 0

@~~Katharsis~~ Заблокирован
	05.09.2011, 15:09	19
	И это при входе с паролем администратора? Проверьте, всё ли вы правильно делаете. Ну и накрайняк заменить файл можно будет загрузившись с любого livecd. winlogon.exe предварительно распакуйте на чистой машине из X:\i386 командой expand X:\i386\winlogon.ex_ путь_для_распаковки\winlogon.exe X: - диск с дистрибутивом загрузите зараженную машину с livecd и замените winlogon.exe, допустим с флешки в каталогах c:\windows\system32\ и c:\windows\system32\dllcache 0

@Kiv 0 / 0 / 0 Регистрация: 17.06.2011 Сообщений: 27
	06.09.2011, 09:51 [ТС]	20
	Я наверно совсем валенок!!! Но при загрузке с установочного диска win xp, система не спрашивает под каким именем зайти, а прсто начинаеться копирование файлов. Пробовал загрузиться с флешки, так ее совсем не видит, sp3 загружаеться, а sp2 нет. Или скорее всего я опять что-то не так делаю. 0